Der Deutsche Ethikrat mischt die Social-Media-Debatte auf. Dem vielfach geforderten Verbot für Minderjährige verpassen die Expert*innen eine Abfuhr – und warnen eindringlich vor den Gefahren von Alterskontrollen. Die Analyse.

Der Deutsche Ethikrat hat Empfehlungen zum Schutz von Kindern und Jugendlichen im Netz vorgelegt. Die Expert*innen sprechen sich ausdrücklich gegen ein Social-Media-Verbot für Minderjährige nach australischem Vorbild aus. Stattdessen sollen Plattformen digitale Räume sicherer gestalten. Bei Alterskontrollen zieht der Ethikrat strenge Linien: Er lehnt Verfahren ab, bei denen Daten das Gerät von Nutzer*innen verlassen.

Hintergrund ist die internationale Debatte um Kinder- und Jugendschutz im Netz. Spitzenpolitiker*innen in Bund, Ländern und der EU fordern ein Social-Media-Verbot für Minderjährige, darunter EU-Kommissionspräsidentin Ursula von der Leyen (CDU). Bundestagspräsidentin Julia Klöckner (CDU) hatte den Ethikrat um Stellungnahme gebeten.

Der Ethikrat ist laut Gesetz unabhängig. Die 26 Mitglieder sollen demnach „naturwissenschaftliche, medizinische, theologische, philosophische, ethische, soziale, ökonomische und rechtliche Belange in besonderer Weise repräsentieren“ und ein „plurales Meinungsspektrum“ vertreten. Berufen werden sie nach Vorschlägen von Bundesregierung und Bundestag für vier Jahre. Mitautorin und Sprecherin der neuen Stellungnahme ist Judith Simon, Professorin an der Universität Hamburg zur Ethik in der Informationstechnologie.

Das 50-seitige Papier des Ethikrats ist der bisher sorgfältigste und ausführlichste Beitrag zur Debatte in Deutschland. Maßstab sei das Kindeswohl im Sinne der UN-Kinderrechtskonvention, schreiben die Expert*innen. Differenziert gehen sie auf die Grundrechte junger Menschen ein und warnen vor den Folgen von Alterskontrollen. Am Ende geben sie politische Empfehlungen. Der Überblick.

Klares „Nein“ zum Social-Media-Verbot

Soll für Social Media ein gesetzliches Mindestalter eingeführt werden? Um diese Frage kreist die Debatte seit Monaten. „Der Ethikrat beantwortet sie mit nein“, sagt der Vorsitzende des Ethikrats Helmut Frister. Dafür nennt der Ethikrat vier Gründe.

• Erstens: Das Problem liegt nicht pauschal bei sozialen Medien, wie aus dem Papier hervorgeht, sondern bei konkreten Merkmalen „wie zum Beispiel Endlos-Feeds“. Statt junge Menschen auszusperren sollen unter anderem schädliche Funktionen verboten werden.
• Zweitens: Das Alter allein sagt zu wenig aus. Kinder gleicher Altersgruppen würden sich „in ihrem Reifegrad“ mitunter deutlich voneinander unterscheiden, schreiben die Expert*innen.
• Drittens: Nicht nur auf sozialen Medien gibt es Risiken, sondern auch bei vielen anderen digitalen Diensten. Konkret nennt der Ethikrat etwa Messenger, Spiele, Streaming-Plattformen, Chatbots und Bildgeneratoren. Zudem könnten junge Menschen ein Verbot einfach umgehen, wie erste Erfahrungen aus Australien zeigen würden.
• Viertens: Ein Mindestalter würde Teilhabe, Entwicklung und Medienkompetenz junger Menschen beeinträchtigen. Mit sozialen Medien würden sie unter anderem Freundschaften pflegen, „emotionale Unterstützung und Zugehörigkeit erleben“. Hinzu kommt, dass Eltern laut Grundgesetz das Recht haben, selbst über die Erziehung zu entscheiden – also auch darüber, wann sie ihrem Kind welche digitalen Angebote zutrauen. Ein Mindestalter würde „auf unverhältnismäßige Art und Weise in das Recht der Eltern eingreifen“.

Besser regeln, besser durchsetzen

Der Ethikrat belässt es nicht beim Nein zum Social-Media-Verbot, sondern beschreibt Alternativen. Eine zentrale Rolle spielen strenge Regeln für Online-Dienste. „Anbieter müssen für Minderjährige zugängliche digitale Räume so gestalten, dass Kinder und Jugendliche effektiver geschützt werden als bisher“, schreibt der Ethikrat. Konkreter Vorschlag:

Zu exzessiver Nutzung anreizende Funktionen digitaler Angebote sollten generell verboten werden.

So sollen Anbieter auf „süchtig machende Funktionen“ verzichten, auf „algorithmisch gesteuerte Feeds oder Empfehlungssysteme“; auf Profiling und Tracking. Es brauche zudem Blockier- und Meldefunktionen sowie sichere Voreinstellungen, etwa wer wen kontaktieren kann. Einen Rechtsrahmen dafür gibt es schon, vor allem das EU-Gesetz über digitale Dienste (DSA). Erste DSA-Verfahren, etwa gegen TikTok, laufen gerade an. Der Ethikrat rät, unter anderem den DSA „konsequent“ auszuschöpfen.

Jenseits des DSA sieht der Ethikrat Schutzlücken, und zwar bei Angeboten, die nicht unter die im Gesetz definierten digitalen Dienste fallen. Als Beispiel nennt der Ethikrat generative KI, dazu gehören etwa Chatbots wie ChatGPT, Bild- und Videogeneratoren. Zwar gebe es dafür die KI-Verordnung, dort würden aber Vorgaben zum Jugendschutz fehlen.

Schließen lassen sich solche Lücken etwa mit dem von der EU-Kommission geplanten Gesetz über digitale Fairness (Digital Fairness Act, DFA). Mehrfach verweist auch der Ethikrat darauf. Das Besondere am DFA: Er nimmt nicht Minderjährige in den Blick, sondern alle. Passend dazu halten die Expert*innen fest: Digitale Angebote sollten „für alle Menschen so gestaltet werden, dass sie systemische Risiken minimieren“. Denn die zugrunde liegenden Geschäftsmodelle könnten nicht nur Kindern und Jugendlichen schaden.

Eltern stärken

Eine zentrale Rolle in den Empfehlungen des Ethikrats spielen Eltern. Einfach ausgedrückt sollen nicht etwa flächendeckende Alterskontrollen verhindern, dass junge Menschen eine potenziell schädliche Plattformen nutzen, sondern: Mama und Papa oder andere Erziehungsberechtigte. Der Ethikrat verschiebt damit den Fokus von technischer Kontrollinfrastruktur zu menschlicher Fürsorge.

„Der Zugang zu digitalen Angeboten sollte auf einer ersten Stufe durch die Eltern geregelt werden“, schreiben die Expert*innen. Sie seien zuständig für das „Ausbalancieren“ von Schutz, Teilhabe und Befähigung. „Die Eltern haben dabei einen Gestaltungsspielraum, der erst überschritten ist, wenn das Kindeswohl konkret gefährdet wird.“

Der Ethikrat erkennt an, dass Eltern damit keine leichte Aufgabe haben. „Selbst bei vorhandenen Ressourcen gibt es sicherlich Eltern, die – um Zeit und vor allem Nerven zu sparen – den Weg des geringsten Widerstands gehen und die digitalen Aktivitäten ihrer Kinder nicht oder nur unzureichend kontrollieren.“ Mehrere Maßnahmen sollen Eltern deshalb stärken:

• Bessere digitale Werkzeuge. Eltern sollen mit passenden Kontroll-Werkzeugen „den Zugang zu Apps, Funktionen und Inhalten sowie die Gesamtnutzungszeit einfach, sicher und passgenau beschränken können“, und zwar „mit überschaubarem Aufwand“.
• Mehr Unterstützung. Es brauche „eindringliche Aufklärung“, auch für „technisch wenig versierte Eltern“. Und wenn Eltern es nicht selbst schaffen, könne etwa die Familienhilfe „Digitalpat*innen“ vermitteln.
• Bessere Altersempfehlungen. Welches digitale Angebot ist für Kinder geeignet? Eltern sollten sich hier nicht auf die Altersangaben der Anbieter verlassen müssen. Anerkannte Organisationen wie die Freiwillige Selbstkontrolle könnten vermehrt Angebote bewerten.

Strenge Linien für Alterskontrollen

Ausführlich geht der Ethikrat auf Probleme und Gefahren von Alterskontrollen ein. Sie sind ein zentraler Aspekt der Debatte, denn wer ein Social-Media-Verbot fordert, will das in der Regel mit strengen Alterskontrollen durchsetzen. Die EU-Kommission schafft mit der geplanten Alterskontroll-App („Mini-Wallet“) gerade die Infrastruktur für EU-weite Alterskontrollen im Netz.

Der Deutsche Ethikrat tritt hier auf die Bremse. Die Mini-Wallet habe „Schwächen in Bezug auf Sicherheit, Datenschutz und Effektivität“, schreiben die Expert*innen. Sie sei „abzulehnen“. Das ist eine Klatsche für die EU-Kommission, die mit der Mini-Wallet einen „Goldstandard“ für sichere und datensparsame Alterskontrollen setzen wollte.

Die Kritik der Expert*innen an Alterskontrollen ist jedoch grundlegender. „Einer Forderung nach perfekter Wirksamkeit würde kein System genügen“, schreiben sie. Zugleich könne es „ein falsches Gefühl der Sicherheit erzeugen“, wenn man ignoriert, wie leicht sich Alterskontrollen umgehen lassen. Genau das tun Befürworter*innen von Alterskontrollen jedoch immer wieder, wenn sie die Systeme als wirksam und robust beschreiben.

„Mit der verpflichtenden Nutzung von Altersbestimmungstechnologien ist zudem die Sorge verbunden, dass dies ein weiterer Schritt auf dem Weg zum Ende eines frei zugänglichen, offenen Internets wäre“, schreibt der Ethikrat weiter. Die Expert*innen warnen ausdrücklich vor „Missbrauch und Zensur“:

Die Technologien sind Instrumente zur Unterscheidung und unterschiedlichen Behandlung von Nutzergruppen. Als solche können sie auch zweckentfremdet werden, und zwar sowohl zur Beschränkung des Zugangs für weitere Gruppen als auch des Zugangs zu anderen Inhalten, zum Beispiel zu Materialien zur sexuellen Aufklärung oder gar zu solchen, die politisch unerwünscht sind. Aufgrund dieser breiten Einsatzmöglichkeiten kann nicht ausgeschlossen werden, dass die Altersbestimmungstechnologien als Zensurinstrument missbraucht werden.

Eine der wichtigsten Methoden für Alterskontrollen basiert auf Papieren, die das Alter belegen, etwa ein Ausweis. Das setzt jedoch Dokumente voraus „über die bestimmte Gruppen gegebenenfalls nicht verfügen“, mahnt der Ethikrat. Eine weitere wichtige Methode sind Schätzungen. Hierfür scannt eine Software etwa das Gesicht oder das Verhalten einer Person auf einer Plattform. Dabei warnt der Ethikrat vor „systematischen Verzerrungen in zwei Richtungen“. Einfach ausgedrückt kann eine solche Software Erwachsene zu Unrecht aussperren – oder junge Menschen zu Unrecht durchlassen.

Nicht zuletzt würden viele Methoden der Alterskontrolle die Privatsphäre gefährden. „Viele Ansätze erfordern die Preisgabe sensibler Daten und/oder das Auslesen von Nutzungsdaten und Inhalten durch die Anbieter. Von besonderer Sensibilität sind hier biometrische Daten“, schreibt der Ethikrat.

Der Pudding wird uns auf die Füße fallen

Das Fazit: Der Ethikrat spricht sich „gegen den Einsatz von Technologien zur Altersableitung oder Altersschätzung aus, bei denen Daten das Endgerät der Nutzerinnen und Nutzer verlassen“.

Diese Empfehlung beißt sich mit der aktuellen Praxis in Deutschland. Regelmäßig bewertet die Kommission für Jugendmedienschutz (KJM) Systeme zur Alterskontrolle als „positiv“, bei denen Nutzer*innen ihre Daten einem externen Anbieter anvertrauen müssen. Das heißt: Anbieter in Deutschland nutzen derzeit Alterskontrollen, von denen der Ethikrat abrät.

„Verpflichtende“ Alterskontrollen dennoch möglich

Spielraum für Alterskontrollen im Netz sieht der Ethikrat dennoch. Zwar sollten Kontrollen durch Eltern der Standard sein. Aber: „Alterskontrollverfahren auf Geräteebene können ergänzend eingesetzt werden.“ Diese Kontrollen könnten „je nach Einsatzgebiet“ sogar „verpflichtend“ sein.

Der Ethikrat zählt nicht genau auf, wovor solche Alterskontrollen schützen sollen. Mindestens geht es um Inhalte, die Minderjährigen „bereits nach dem Strafgesetzbuch“ nicht zugänglich gemacht werden dürfen, also unter anderem Pornos.

Ablaufen könnten die Alterskontrollen nach Auffassung des Ethikrats per „Altersschätzung durch die Kamera“ oder per „Verifikation mit offiziellen Dokumenten“. An dieser Stelle wirken die Empfehlungen allerdings nicht schlüssig: Beide Verfahren hatte der Ethikrat zuvor kritisiert. Bei Altersschätzung drohen „systematische Verzerrungen in zwei Richtungen“; Verifikation mit Dokumenten schließt Menschen aus, die solche Dokumente nicht haben. Es fehlt die Abwägung, warum die Expert*innen solche Nachteile dennoch in Kauf nehmen würden. Auch auf die Gefahr von „Missbrauch und Zensur“ gehen sie hier nicht näher ein.

Jedenfalls müssten sensible Daten auf dem Gerät bleiben. Das Gerät dürfe nur das relevante Alterssignal übermitteln. Der Ethikrat fordert hierfür „konkrete technische Anforderungen“ per Gesetz. Der Verweis auf Prinzipien wie Datenschutz sei „zu abstrakt“.

Eine Empfehlung unter Vorbehalt spricht der Ethikrat für die geplante digitale Brieftasche der EU („EUDI-Wallet“) aus, mit der Menschen in der EU künftig unter anderem ihr Alter nachweisen sollen. Die Bedingung: Die Brieftasche müsse die Vorgaben der eIDAS‑2.0‑Verordnung „vollständig“ erfüllen. Hinter der Abkürzung steckt das Gesetz, das der Brieftasche zugrunde liegt.

Mehr Kontext zu dem Vorbehalt liefert der Ethikrat nicht, allerdings rüttelt die EU-Kommission derzeit am Schutzniveau der EUDI-Wallet. Kritiker*innen fürchten um die Privatsphäre. Ein weiterer Fallstrick: Die digitale Brieftasche darf laut Gesetz nur „freiwillig“ sein, es muss also Alternativen geben. Bloß, welche? Der vom Ethikrat gesteckte Spielraum ist eng.

Wendet sich das Blatt?

Die Bundesregierung hatte im April mitgeteilt, noch keine gemeinsame Position zum Social-Media-Verbot zu haben. Die Empfehlungen des Ethikrats fallen in eine Zeit, in der die breite Kritik an Social-Media-Verbot und Alterskontrollen anscheinend auch bei der Bundesregierung verfängt:

• Mitte Mai hatte Bundeskanzler Friedrich Merz (CDU) nach anfänglichen Sympathien für das Konzept ausdrücklich „Nein“ zu einem Social-Media-Verbot gesagt.
• Wenig später hatte sich Innenminister Alexander Dobrindt (CSU) kritisch geäußert, und damit die Position seines Parteichefs Markus Söder gestützt.
• Familienministerin Karin Prien (CDU) wollte im Mai nicht von einem „Verbot“ sprechen und hielt sich im Gespräch mit Interessierten alle Optionen offen.
• Digitalminister Karsten Wildberger (CDU) konnte dem australischen Modell im Dezember noch „eine Menge abgewinnen“ – sagte jedoch vor wenigen Tagen, ein Social-Media-Verbot für Minderjährige sei „besser als nichts“, während Schutz „innerhalb“ des Designs von Plattformen „am nachhaltigsten“ sei.

All das heißt jedoch nicht, dass sich das Blatt wendet. Denn Forderungen nach einem Social-Media-Verbot für Minderjährige gibt es EU-weit. Die jüngsten Äußerungen von Unions-Politiker*innen zeigen: Zumindest in Deutschland wachsen die Bedenken.

Der Ethikrat hat dafür Argumente geliefert. In Kürze sollen zwei weitere Expert*innen-Gremien auf Deutschland- und EU-Ebene wissenschaftlich fundierte Empfehlungen vorlegen, zuerst das deutsche Gremium am 24. Juni.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Wenn Social-Media-Plattformen zu viel oder zu wenig löschen, können sich Nutzer:innen beim Appeals Centre Europe beschweren. In mehr als 1.700 Fällen hielten die Schlichter:innen die Entscheidungen der Tech-Konzerne für falsch. Sie bemängeln „markante und immer wiederkehrende Probleme“.

Plattformen setzen ihre eigenen Regeln gegen Hassrede, Gewalt und Kriminalität im Netz nur lückenhaft durch. Das geht aus dem zweiten Transparenzbericht des Appeals Centre Europe hervor, der Dubliner Streitbeilegungsstelle, über die man in der EU Moderationsentscheidungen von Social-Media-Plattformen anfechten kann. In 70 Prozent der geprüften Streitfälle, in denen Plattformen gemeldete Hassrede online gelassen hatten, hätte der Inhalt nach Auffassung des Zentrums gelöscht werden müssen. Bei Gewalt und Kriminalität waren es 75 Prozent.

Bei mehr als 1.400 geprüften Hassrede-Entscheidungen widersprach das Appeals Centre Europe am häufigsten TikTok: In 83 Prozent der Fälle, in denen die Plattform gemeldete Hassrede online gelassen hatte, hielt das Zentrum dies für falsch. Es folgen Instagram mit 74 Prozent, Facebook mit 61 Prozent und YouTube mit 58 Prozent. Die strittigen Inhalte richteten sich unter anderem gegen Migrant:innen, religiöse Minderheiten, Rom:nja und queere Menschen.

Das Zentrum erkennt inzwischen wiederkehrende Muster, die auf eine fehlerhafte Umsetzung der Plattformrichtlinien hindeuten – in beide Richtungen. Einerseits bleibt gemeldete Hassrede zu oft online: Ging es um Inhalte, die eine Plattform stehen gelassen hatte, kam das Zentrum in 63 Prozent der geprüften Fälle zu dem Schluss, dass sie hätten entfernt werden müssen. Andererseits löschen die Plattformen Inhalte, die gegen keine Regel verstoßen: Ging es um entfernte Inhalte, entschied das Zentrum in 52 Prozent der Fälle, dass die Löschung nicht hätte erfolgen dürfen. Bezog sich das Entfernen von Inhalten auf eingeschränkte Waren und Dienstleistungen, hielt das Zentrum die Löschung in 65 Prozent der Fälle für unberechtigt.

Der Transparenzbericht nennt auch die Zahl der gemeldeten Fälle. Zwischen April 2025 und März 2026 gingen demnach mehr als 24.000 Beschwerden ein – rechnerisch alle 22 Minuten eine. Nur etwa die Hälfte davon fiel in den Zuständigkeitsbereich der Stelle. Im März 2026 erhielt das Zentrum neunmal so viele zulässige Fälle wie ein Jahr zuvor.

Das Appeals Centre Europe ist eine unabhängige außergerichtliche Streitbeilegungsstelle, die nach Artikel 21 des EU-Gesetzes über digitale Dienste (Digital Services Act, DSA) zertifiziert ist. Über sie können Personen und Organisationen in der EU Entscheidungen von Social-Media-Plattformen anfechten, ohne vor Gericht zu ziehen. Aktuell bearbeitet die Stelle Streitfälle zu Facebook, Instagram, Pinterest, Threads, TikTok und YouTube.

Plattformen rücken strittige Inhalte nicht raus

Inhaltlich prüfen kann das Zentrum eine Beschwerde jedoch nur, wenn die Plattform den strittigen Inhalt auch herausgibt, was meistens nicht geschieht. Von mehr als 10.000 Entscheidungen konnte das Zentrum nur in knapp 3.000 Fällen die Inhalte tatsächlich überprüfen – dort widersprach es der Plattform in 59 Prozent der Fälle. In den übrigen mehr als 7.000 Fällen lieferte die Plattform die Inhalte nicht. In solchen Fällen bekommen Nutzer:innen automatisch recht.

Besonders ausgeprägt ist zudem das Problem mit gesperrten Konten, dem mit Abstand häufigsten Beschwerdetyp. Bis März 2026 gingen dazu mehr als 14.000 Meldungen ein. Auch hier liefern die Plattformen oft gar nicht erst die Inhalte, die eine Überprüfung möglich machen würden. Bei mehr als 4.600 zulässigen Beschwerden über gesperrte Facebook- und Instagram-Konten legte Meta laut Bericht nur in weniger als 100 Fällen die nötigen Inhalte vor. In den wenigen Fällen, die das Zentrum tatsächlich prüfen konnte, gab es den Nutzer:innen jedoch nur in etwa einem Drittel der Fälle recht.

Durchsetzen lassen sich die Entscheidungen des Appeals Centre Europe allerdings nicht. Die Plattformen müssen sich zwar mit ihnen befassen, ihnen aber nicht folgen. Allein bei den mehr als 1.000 Hassrede-Entscheidungen, die zivilgesellschaftliche Organisationen angestoßen hatten, kenne das Zentrum nur eine Handvoll Fälle, in denen eine Plattform die Entscheidung tatsächlich umsetzte. In den übrigen sei sie abgelehnt oder ignoriert worden. Die beanstandeten Inhalte blieben demnach online.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Signal reagiert auf die umfangreiche Phishing-Kampagne mit Änderungen in der App. Derweil wird die Dimension der Attacke deutlicher: Schon im Januar waren fast 14.000 Accounts gezielt angeschrieben worden.

In einem Interview mit dem Spiegel (€) hat Signal-Chefin Meredith Whittaker angekündigt, dass der Messenger in Zukunft zusätzliche Warnhinweise anzeigen wird, um Phishing besser zu verhindern. Hintergrund der Maßnahme sind die teilweise erfolgreichen Phishing-Versuche gegen Vertreter:innen aus Politik, Militär und Journalismus, der in Deutschland nach Medienberichten zwei Ministerinnen und die Bundestagspräsidentin zum Opfer fielen.

Im Interview sagte Whittaker:

Wenn jemand zum ersten Mal eine Nachricht von einer unbekannten Nummer erhält, werden künftig zusätzliche Warnhinweise angezeigt. Das Annehmen neuer, unbekannter Kontakte wird in Zukunft nicht mehr mit einem einzigen Klick möglich sein und zwingend einen Warnhinweis enthalten. Wir prüfen noch weitere Ideen und werden dazu bald mehr bekannt geben. Und um es noch einmal klar zu sagen: Signal wird Nutzer niemals in einem zweiseitigen Chat kontaktieren, um sie nach ihrer PIN, ihrem Schlüssel oder anderen Informationen zu fragen.

Öffentlich bekannt wurde die Attacke in Deutschland, als netzpolitik.org am 28. Januar darüber berichtete, dass zahlreiche Journalist:innen im Visier stünden. Gut eine Woche nach dem Bericht warnten dann der Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Angriffswelle. Mittlerweile haben die Behörden ein weiteres Update der Warnung samt Handlungsleitfaden veröffentlicht.

Am gestrigen Donnerstag war die Phishing-Kampagne auch Thema im Digital- und im Innenausschuss des Bundestages. In nicht-öffentlicher Sitzung wurde durch Verfassungsschutzchef Sinan Selen und BSI-Chefin Claudia Plattner die Kampagne nachgezeichnet und noch einmal vor Phishing gewarnt. Laut dem Bericht wussten die Behörden erst „im Januar“ über die Angriffe Bescheid. Nach Informationen von netzpolitik.org könnte allerdings ein Ende 2025 vom Phishing betroffener Bundestagsabgeordneter beide Behörden schon früher informiert haben.

Viel spricht für Russland als Urheber des Angriffs

Mittlerweile verdichtet sich, dass Russland hinter der Attacke stecken dürfte. Das niederländische Verteidigungsministerium hatte Anfang März verlautbart, dass Russland hinter der laufenden Phishing-Kampagne gegen hochrangige Personen aus Politik, Militär, Zivilgesellschaft und Journalismus stecken soll. BSI und Verfassungsschutz hatten vor den Attacken gewarnt und diese als „wahrscheinlich staatlich gesteuert“ bezeichnet. Die Bundesregierung schreibt den Angriff bislang nicht offiziell einem Land zu, ließ aber über Regierungskreise verbreiten, dass Russland dahinter stecke.

In einer Mitteilung auf der Webseite des niederländischen Verteidigungsministeriums sprechen sowohl der militärische Geheimdienst MIVD als auch der zivile Geheimdienst AIVD von „russischen Staatshackern“, die hinter dem Angriff auf Signal und WhatsApp stecken würden. Auch netzpolitik.org hat Hinweise, welche die Theorie einer russischen Urheberschaft des Angriffs untermauern.

Mehr als 13.700 Telefonnummern

Das Medienhaus Correctiv hatte zudem den Angriff auf den früheren Vizepräsidenten des Bundesnachrichtendienstes, Arndt Freytag von Loringhoven, ausgewertet und ist dabei auch auf digitale Spuren gestoßen, die nach Russland führen.

Weiteren Spuren nachgegangen sind auch die IT-Sicherheitsexperten des Security Labs von Amnesty International, die sich schon frühzeitig mit der Kampagne befasst haben. Sie haben einem Bericht des Spiegels (€) zufolge ein Angriffswerkzeug gefunden. Wie Donncha Ó Cearbhaill, der Leiter des Amnesty-Labs dem Medium mitteilte, soll es sich um ein in russischer Sprache programmiertes Werkzeug namens ApocalypseZ handeln.

Die Untersuchung konnte erstmals auch eine Zahl der angegriffenen Signal-Accounts offenlegen. In der Datenbank der Angreifer konnten die Amnesty-Expert:innen Mobilfunknummern potenzieller Opfer sehen. „Im Januar waren es mehr als 13.700“, sagte Ó Cearbhaill gegenüber dem Spiegel. In den Screenshots des Schadprogramms konnten die Forscher:innen zudem sehen, dass viele der Phishing-Nachrichten über polnische und niederländische Nummern verschickt wurden.

Laut dem Spiegel-Bericht bestätigt sich nun auch die Annahme, die Donncha Ó Cearbhaill schon im Januar gegenüber netzpolitik.org geäußert hatte: Die Angreifer lesen die Kontakte derjenigen aus, die auf das Phishing hereinfallen – und versenden dann neue Nachrichten. Ziel ist die Übernahme der Accounts samt Einblicken in Netzwerke und zukünftige Inhalte der Kommunikation.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Alterskontroll-App der EU- Kommission nutzt ein Verfahren von Google-Entwicklern. IT-Fachleute warnen vor Abhängigkeiten und Datenschutzrisiken – auch mit Blick auf die geplante EUDI-Wallet.

Mit einer Handy-App sollen Menschen in der EU schon bald ihr Alter gegenüber Online-Diensten nachweisen können. Noch gibt es diese App nicht. Die EU-Kommission hat aber Code für Komponenten und Spezifikationen bereitgestellt, aus dem Entwickler:innen eigene Versionen der App bauen und auf den Markt bringen sollen. Die Alterskontroll-App könne ein weltweiter „Goldstandard“ werden, so die Hoffnung der Kommission.

Doch bei der App hat sich die Kommission für ein Verfahren zweier Software-Entwickler entschieden, die für den US-Konzern Google arbeiten. Die Technologie ist Open Source. Doch eine ebenfalls offene Alternative, die seit Jahren gut erforscht und nicht an ein kommerzielles Unternehmen gebunden ist, lehnte die Kommission ab.

Sicherheitsexpert:innen kritisieren die Entscheidung, weil die von der Kommission gewählten Verfahren weniger effizient und risikobehaftet seien. Außerdem fordern sie, Standards zu nutzen, die Abhängigkeiten von einzelnen Anbietern vermeiden. Nur so ließen sich bestimmte Funktionen und ein hohes Datenschutzniveau sicherstellen.

Der datensparsame Null-Wissen-Beweis

Die Alterskontroll-App ist quasi ein Vorläufer der geplanten EUDI-Wallet, die Ende 2026 EU-weit starten soll. Mit der App sollen Nutzer:innen gegenüber Online-Plattformen nachweisen können, dass sie ein bestimmtes Mindestalter erreicht haben.

Um ausschließlich die erforderliche Information – Mindestalter ja oder nein – zu offenbaren, lässt sich ein sogenannter Zero Knowledge Proof (ZKP) nutzen, zu Deutsch: Null-Wissen-Beweis. Das erlaubt eine datensparsame Verifizierung, ohne die zugrundeliegenden Daten der Nutzer:innen wie etwa das genaue Alter preiszugegeben.

Damit die Authentisierung sicher erfolgen kann, braucht es digitale Signaturen. Sie sichern weite Teile des Internets und die meisten digitalen Transaktionen ab, indem sie etwa – vergleichbar mit einer handschriftlichen Unterschrift – mathematisch beweisen, dass eine Nachricht von einem bestimmten Absender stammt.

Beweisen, dass es einen Beweis gibt

Bei der Alterskontroll-App wird das Attribut, das eine Person älter als X Jahre ist, vom sogenannten „Attestation Provider“ signiert. Diese Aufgabe können Banken, Mobilfunkanbieter oder staatliche Behörden übernehmen. Sie bestätigen so als vertrauenswürdige Stelle die Echtheit von Altersbestätigungen digital und geben diese an die App aus.

Allerdings gibt es noch ein Problem zu lösen: Wäre diese Bestätigung, die bei einem Altersnachweis mitgeliefert wird, immer gleich, lassen sich damit verschiedene Nachweisaktionen bei unterschiedlichen Behörden, Händlern oder Plattformen miteinander verknüpfen.

Das sollen „Anonymous Credentials“ verhindern, zu Deutsch: „anonyme Anmeldedaten“. Hier werden bei jeder Altersübermittlung neue, einmalige Beweise erzeugt, die an verschiedene Dienste, die den Nachweis prüfen, weitergegeben werden. Damit belegen Nutzer:innen, dass sie eine gültige Signatur für ihren Altersnachweis haben – ohne den Nachweis selbst oder die Signatur preiszugeben. Dank dieser wechselnden Beweise können die sogenannten Verifier nicht erkennen, dass es sich um dieselbe Person handelt – selbst wenn sie die Beweise untereinander vergleichen.

Zwei konkurrierende kryptografische Verfahren

Damit der Zero Knowledge Proof mit der Alterskontroll-App gelingt, kommen mehrere kryptografische Verfahren für Anonymous Credentials grundsätzlich infrage.

Aus Sicht vieler Kryptografen wäre etwa BBS ein etabliertes Verfahren. Es ist nach den Erfindern Dan Boneh, Xavier Boyen und Hovav Shacham benannt, wurde 2004 entwickelt und 2013 als ISO-Standard aufgenommen. BBS gilt als gut erforscht, ist allerdings bisher kaum im Praxiseinsatz.

Ein alternatives Verfahren baut auf ECDSA-Signaturen auf. Der „Elliptic Curve Digital Signature Algorithm“ ist als kryptografisches Verfahren weit verbreitet. Es wurde allerdings nicht dafür gebaut, um ZKP zu erstellen. Um einen Null-Wissen-Beweis auf Basis einer ECDSA-Signatur erzeugen zu können, braucht es technisch aufwendige Anpassungen. Im Vergleich zu BBS-basierten Verfahren gelten daher ECDSA-basierte Anonymous Credentials in der Fachwelt als langsamer und komplexer.

Kommission hat sich für ECDSA-Signaturen entschieden

Dennoch hat sich die Kommission bei ihrer Alterskontroll-App für ECDSA-basierte Anonymous Credentials entschieden. Laut dem technischen Blaupausen-Dokument hatte die Kommission zuvor fünf Optionen geprüft, drei von ihnen basieren auf BBS. „Unter diesen erscheinen ‚ECDSA Anonymous Credentials’ aufgrund ihrer Kompatibilität mit bestehenden Anmeldeformaten und Ausstellungsabläufen am vielversprechendsten“, schreibt die Kommission.

Anja Lehmann hält das für einen riskanten Ansatz. Sie ist Professorin am Hasso-Plattner-Institut der Universität Potsdam und forscht unter anderem zur datensparsamen Authentisierung in digitalen Wallets. „Nach außen wirkt der ECDSA-basierte Ansatz einfach, gerade weil er kompatibel mit bestehenden Systemen ist“, sagt Lehmann gegenüber netzpolitik.org. „Aber um diese Kompatibilität zu erreichen, braucht man ein kryptographisches Verfahren mit rund 20.000 Zeilen Code.“ Das sei langfristig eine große Herausforderung etwa für die Sicherheit und Standardisierung von kryptografischen Verfahren.

Auch Carmela Troncoso sieht die Entscheidung der Kommission kritisch: „Googles Ansatz ist neu, und obwohl er auf bekannter Kryptografie basiert, ist er noch nicht ausreichend erforscht“, sagt die IT-Sicherheitsexpertin vom Max-Planck-Institut für Sicherheit und Privatsphäre. „BBS ist hingegen eine etablierte Methode, um anonyme Zugangsdaten zu erzeugen, die wissenschaftlich gründlich untersucht wurde. Das ist ihr Hauptvorteil gegenüber Googles Verfahren.“

Beide IT-Sicherheitsfachleute gehören einer internationalen Gruppe von Kryptograf:innen an, die die EU-Kommission bereits im Juni 2024 dafür kritisierte, für die EUDI-Wallet veraltete Verschlüsselungsverfahren einsetzen zu wollen. Das Problem ließe sich nur beheben, wenn grundlegend andere kryptografische Lösungen wie BBS zum Einsatz kommen, lautete damals die Empfehlung der Kryptograf:innen.

Digitale Unabhängigkeit – mit Google?

Aus Sicht von Lehmann und Troncoso sprechen auch organisatorische Gründe gegen das Google-Verfahren. Entscheidet man sich für eine Lösung, die so komplex ist, dass die unterliegende Krypto-Bibliothek nur von sehr wenigen Fachleuten weiterentwickelt werden kann, begebe man sich in eine unnötige Abhängigkeit, warnt Lehmann. „Die Bibliothek bestimmt maßgeblich darüber, welche Funktionalität und welches Datenschutzniveau unterstützt wird“, sagt sie.

Dass die Technologie Open Source ist, verspricht aus Sicht von Carmela Troncoso nicht per se viel mehr Spielraum. „Google entscheidet darüber, was wie authentisiert und wie das angepasst werden kann“, sagt Troncoso. „Will man die hochgradig optimierten ZKP-Bibliotheken verändern, ist besonderes Fachwissen erforderlich, über das derzeit vor allem Google verfügt.“ Daher warnt Troncoso davor, „Google zum Herzen der europäischen Identitätsinfrastruktur zu machen“.

Die Kommission teilt diese Sorge offenkundig nicht. Auf Nachfrage von netzpolitik.org definiert sie digitale Souveränität als „operative Kontrolle“ etwa über Spezifikationen und die rechtlichen Rahmenbedingungen. Die ECDSA-basierten Verfahren erfüllten hier viele Anforderungen: Es gebe Open-Source-Implementierungen, eine unabhängige Sicherheitsüberprüfung durch die Internet Security Research Group und einen Standardisierungsprozess.

Tatsächlich ist ECDSA als Signaturverfahren standardisiert – „allerdings nicht das Anonymous-Credentials-Verfahren, das darauf aufbaut“, ordnet Anja Lehmann ein. Für BBS-Signaturen gebe es bereits seit 2013 einen ISO-Standard und auch eine aktuelle IRTF Standardisierung. Zwar decke der Standard nur ein einzelnes signiertes Attribut ab, eine Erweiterung auf mehrere Attribute sei aus kryptographischer Sicht aber trivial, so die Sicherheitsexpertin.

Mögliche Weichenstellung für die EUDI-Wallet

Ob die EU-Kommission mit ihrer Wahl für Google bei der Alterskontroll-App auch eine Weichenstellung für die EUDI-Wallet gewählt hat, wird sich vermutlich in den kommenden Monaten zeigen.

Eine Entscheidung will die Kommission nach einer Aussage erst dann treffen, wenn die technischen Arbeiten, die fortlaufende Überprüfung durch die European Cybersecurity Certification Group und die Konformitätswerkzeuge vorangeschritten sind. „Es wurde noch kein Termin festgelegt“, so ein Kommissionssprecher gegenüber netzpolitik.org.

Auch einen Vortrag von Paolo De Rosa will die Kommission nicht als Hinweis auf eine vorzeitige Richtungsentscheidung verstehen. De Rosa ist „EUDI-Wallet-CTO“ der EU-Kommission. Ende März präsentierte er gemeinsam mit Abhi Shelat die EUDI-Wallet auf einer IT-Sicherheitskonferenz in San Francisco. Shelat ist Co-Autor des ECDSA-basierten Anonymous-Credentials-Ansatzes und Entwickler bei Google.

Es gehöre zur Arbeitsweise der Kommission, direkt mit Forschenden zusammenzuarbeiten und mit ihnen „auf Augenhöhe“ Vorträge zu halten, schreibt die Kommission.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Laut dem Verfassungsschutz soll das Phishing über den Messenger Signal so erfolgreich sein, dass „zahlreiche Signal-Gruppen im parlamentarischen Raum derzeit von den Angreifern nahezu unbemerkt ausgelesen werden“. Auch der Account der CDU-Bundestagspräsidentin wurde übernommen.

Die Phishing-Attacken auf dem Messenger Signal gegen prominente Personen aus Politik und Journalismus sind offenbar erfolgreich. Nun ist bekannt geworden, dass auch Bundestagspräsidentin Julia Klöckner auf den Phishing-Versuch hereingefallen ist. Nach Informationen von netzpolitik.org waren die Angreifer bei mindestens einem weiteren Bundestagsabgeordneten sowie mehreren Angehörigen großer Redaktionen erfolgreich.

„Es ist davon auszugehen, dass so zahlreiche Signal-Gruppen im parlamentarischen Raum derzeit von den Angreifern nahezu unbemerkt ausgelesen werden“, heißt es in der 20-seitigen Warnung des Verfassungsschutzes (BfV) an Bundestagsabgeordnete, aus der der Spiegel zitiert. Dem BfV seien bereits „zahlreiche hochrangige Betroffenheiten“ bekannt geworden, so der Bericht weiter. Angesichts der Art der Angriffe vermutet der Geheimdienst laut dem Spiegel allerdings eine „deutlich höhere Dunkelziffer“.

Zusammen mit Netzwerk Recherche hatte netzpolitik.org Informationen gesammelt, wer im Journalismus wann die Phishing-Attacke zugesandt bekam. Demnach hatten hierzulande deutlich mehr als 100 Journalist:innen aller Mediengattungen und zahlreicher Medienhäuser den Angriffsversuch erhalten.

Unter den Angegriffenen sind viele Journalist:innen aus dem investigativen Bereich sowie mehrere sehr prominente Vertreter:innen der Medienbranche. Die Angriffe laufen nach Informationen von netzpolitik.org seit September 2025. Dabei wurden manche Personen auch schon mehrfach von den Angreifern angeschrieben, manche bis zu vier Mal.

Bei der Phishing-Attacke, über die netzpolitik.org als erstes in Deutschland berichtet hat, schreiben die Angreifer eine Nachricht im Namen des Signal-Supports an die betroffene Person, in der sie behaupten, dass deren Account attackiert werde. Dazu fordert der falsche Support, dass die Nutzer:innen ihren Verifizierungscode senden. Geben die Nutzer:innen diesen und ihre Signal-PIN an die Angreifer, können diese den Account übernehmen und damit Kontakte, Netzwerke, Chats und Chatgruppen aus- und mitlesen.

Immer mehr Spuren beim Messenger-Phishing weisen auf Russland

Viel spricht für Russland als Urheber des Angriffs

Das niederländische Verteidigungsministerium hatte Anfang März gesagt, dass Russland hinter der laufenden Phishing-Kampagne gegen hochrangige Personen aus Politik, Militär, Zivilgesellschaft und Journalismus stecken soll. BSI und Verfassungsschutz hatten vor den Attacken gewarnt und diese als „wahrscheinlich staatlich gesteuert“ bezeichnet.

In einer Mitteilung auf der Webseite des niederländischen Verteidigungsministeriums sprechen sowohl die militärische Geheimdienst MIVD als auch der zivile Geheimdienst AIVD nun von „russischen Staatshackern“, die hinter dem Angriff auf Signal und WhatsApp stecken würden. Auch netzpolitik.org hat Hinweise, welche die Theorie einer russischen Urheberschaft des Angriffs untermauern.

Das Medienhaus Correctiv hatte zudem den Angriff auf den früheren Vizepräsidenten des Bundesnachrichtendienstes, Arndt Freytag von Loringhoven, ausgewertet und ist dabei auch auf digitale Spuren gestoßen, die nach Russland führen.

Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatten vor einigen Tagen noch einmal vor der Phishing-Attacke gewarnt und auch einen Leitfaden für Betroffene veröffentlicht.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Familienministerin will ein Social-Media-Verbot für Minderjährige. Die von ihr berufenen Expert*innen eher nicht. Das zeigt deren erster Bericht – der jedoch eine gefährliche Leerstelle bei Alterskontrollen lässt. Die Analyse.

Mit einem pauschalen Social-Media-Verbot ist Kindern und Jugendlichen eher nicht geholfen, dafür sind die Gefahren und Vorteile des Internets zu komplex. Das geht hervor aus dem mit Ungeduld erwarteten ersten Bericht der Unabhängigen Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ vom 20. April. Im Vorfeld hatte Familienministerin Karin Prien (CDU) für ein Social-Media-Verbot geworben.

Auf 128 Seiten fächern die von ihr beauftragten Fachleute nun auf, was jungen Menschen im Netz passieren kann, und wo Hilfe ansetzen könnte. Dabei geht es nicht nur um Technologien und Plattform-Regulierung, sondern auch um die Rolle von Eltern, Schulen oder Ärzt*innen.

Die aktuelle Bestandsaufnahme soll lediglich „Handlungsfelder“ beschreiben. Konkrete Handlungsempfehlungen wollen die Expert*innen erst Ende Juni vorlegen. Erkennen lässt sich dennoch, in welche Richtung manche Empfehlungen gehen könnten. So legt der Bericht unter anderem strenge Alterskontrollen nahe.

Auf die Gefahren dieser Maßnahme für Privatsphäre, Datenschutz und Teilhabe aller Menschen im Netz gehen die Fachleute jedoch nicht ein. Diese Leerstelle fällt umso mehr ins Auge, weil im März mehr als 400 Forscher*innen aus 29 Ländern in einem offenen Brief eindringlich vor Alterskontrollen gewarnt hatten.

Unsere Analyse zeigt: Ohne kritische Auseinandersetzung mit den Technikfolgen von Alterskontrollen drohen die Expert*innen des Familienministeriums einen Kernaspekt der Debatte zu unterschätzen.

• Die 5C-Typologie: Das droht jungen Menschen im Netz
• Typisch Wissenschaft: Es kommt drauf an
• Von Eltern bis Ärzt*innen: Diese Menschen sollen Kindern helfen
• Alterskontrollen: Die Achillesferse des Berichts
• Forschende schlagen Alarm: Kontrollen „nicht hinnehmbar“
• Reaktion: SPD-Fraktion will „verpflichtende“ Altersverifikation

Die 5C-Typologie: Das droht jungen Menschen im Netz

Ausführlich beschreiben die Expert*innen zunächst, was jungen Menschen im Netz drohen kann. Dabei nutzen sie die sogenannte 5C-Typologie. Das Modell sortiert die Phänomene in fünf Gruppen, die mit dem Buchstaben C beginnen.

1. Content: Hier geht es um für junge Menschen potenziell schädliche Inhalte wie Gewalt, Hass und Pornografie, aber auch Fehl- und Desinformation.
2. Contact: Im persönlichen Kontakt können Erwachsene junge Menschen etwa in Abhängigkeitsverhältnisse locken und sexuell erpressen, sie stalken oder für extremistische Ideologien rekrutieren.
3. Conduct: Diese Risiken drehen sich um Verhalten unter Minderjährigen; hier können junge Menschen sowohl Opfer als auch Täter*innen sein. Es geht unter anderem um Mobbing, sexuelle Belästigung oder Communitys, in denen sich junge Menschen dazu motivieren, sich selbst zu verletzen.
4. Contract: Hier geht es um Risiken, die sich auf Verträge oder kommerzielle Ausnutzung beziehen. Junge Menschen können etwa durch manipulative Designs oder glücksspielähnliche Mechanismen dazu verleitet werden, ihr Taschengeld zu verprassen.
5. Cross-cutting: Zuletzt soll eine Sammelkategorie namens Querschnitt weitere Risiken bündeln, etwa Verletzung der Privatsphäre, negative Folgen für die Gesundheit wie Bewegungsmangel oder auch Diskriminierung.

Wie schlecht geht es jungen Menschen also in der digitalen Welt? Der Bericht fasst hierzu viele Studien zusammen, das Gesamtbild ist ambivalent. Manches ist alarmierend – etwa, dass 4,7 Prozent der 10- bis 17-Jährigen in Deutschland „die Voraussetzungen für eine pathologische Nutzung sozialer Netzwerke“ erfülle sollen. Andere Befunde wiederum machen Mut – etwa dass sich soziale Medien positiv auf die „Lebenszufriedenheit“ auswirken können.

Typisch Wissenschaft: Es kommt drauf an

Für die Debatte um ein Social-Media-Verbot liefert die Bestandsaufnahme zwei wichtige Differenzierungen. Erstens zeigt die 5C-Typologie eindrücklich: Digitale Gefahren für junge Menschen lassen sich nicht auf soziale Medien reduzieren. Sie umfassen unter anderem auch Messenger (etwa beim Mobbing), Websites (etwa bei Gewaltdarstellungen) oder die Gaming-Welt (etwa bei manipulativen Designs). Ein Zuschnitt allein auf soziale Medien dürfte den Punkt verfehlen.

Zweitens zeigen die Schilderungen zum Forschungsstand: Digitale Gefahren für junge Menschen lassen sich nicht nur am Alter oder der Bildschirmzeit festmachen. „Aus der bisherigen Forschung lässt sich ableiten, dass digitale Risiken und Belastungen nicht für alle Jugendlichen gleichermaßen auftreten, sondern nach Geschlecht, Alter, und soziodemografischem Kontext variieren können“, schreiben die Forschenden.

Es sei „entscheidend, nicht nur die Nutzungsdauer zu betrachten, sondern auch typische Nutzungsweisen sowie die Inhalte, denen Jugendliche ausgesetzt sind.“ Mehrere Studien würden betonen, „dass Auswirkungen digitaler Technologien weder einheitlich negativ noch einheitlich positiv sind, sondern die Wirkungen variieren – je nach Persönlichkeit, Nutzungsform, Plattform, Zeitverlauf und Lebenslage.“

Herunterdampfen lässt sich das auf die Formel: Es kommt drauf an.

Als anschauliches Beispiel nennen die Expert*innen junge Menschen, die Depressionen oder Angststörungen haben. Für sie kann etwa der soziale Vergleich durch Likes besonders belastend sein. Ein anderes Beispiel sind junge Menschen, die aufgrund emotionaler oder sexueller Misshandlung traumatisiert sind. Für sie wiegen Phänomene wie Mobbing oder nicht-einvernehmliche sexualisierte Kontaktaufnahme schwerer.

Zugleich halten die Expert*innen fest, wie wichtig die digitale Welt gerade für vulnerable junge Menschen sein kann:

(Digitale) Verbundenheit hat insbesondere für Jugendliche in isolierten Lebenssituationen einen hohen Stellenwert. Eine besonders konsistente Erkenntnis ist, dass marginalisierte Jugendliche überdurchschnittlich stark von Social Media profitieren. Dies betrifft queere Jugendliche, ethnische oder religiöse Minderheiten sowie Menschen mit Behinderungen oder mit chronischen Erkrankungen.

Für diese Gruppen und insbesondere für Gruppenangehörige aus ländlichen Regionen sind digitale Räume häufig die einzigen Orte, an denen sie akzeptierende Gemeinschaften finden, ihre Identität ausdrücken können und verlässliche Peer-Unterstützung erfahren. Plattformen werden damit zu einem niedrigschwelligen Zugangspunkt zu emotionaler Hilfe und stabilisierenden Beziehungserfahrungen.

Mit Blick auf die Rechtslage schlussfolgern die Expert*innen, es bedürfe „einer besonderen Begründung pauschaler Nutzungsverbote, die sich undifferenziert auf ganze Altersgruppen von Nutzenden erstrecken“. Kurzum: Der Bericht ist ein Dämpfer für alle, die sich Rückenwind für ein Social-Media-Verbot erhofft hatten.

Zumindest in ihrer Reaktion auf den Zwischenbericht hat Familienministerin Prien nicht erneut auf ein Social-Media-Verbot gepocht, sondern sich differenziert und zurückhaltend geäußert: „Es wird darum gehen müssen, bestehende rechtliche Instrumente konsequent durchzusetzen und diese durch einen breiten Instrumentenkasten auf verschiedenen Ebenen zu ergänzen.“ Die Ministerin erwarte nun „mit Spannung die konkreten Handlungsempfehlungen“.

Von Eltern bis Ärzt*innen: Diese Menschen sollen Kindern helfen

Aktuell dreht sich die öffentliche Debatte um Jugendschutz im Netz vor allem um Regulierung und Technologien. Große Teile des Zwischenberichts haben dagegen einen anderen Fokus: Menschen.

Ausführlich gehen die Expert*innen auf die Rolle von Eltern ein. Aus dem Bericht geht hervor: Die Erwachsenen sollen erst einmal selbst das Handy weglegen: „Elterliches Medienverhalten, Erziehungsstil und mediale Vorbildfunktion beeinflussen das Nutzungsverhalten von Kindern und Jugendlichen.“

Programme für Prävention würden vor allem Eltern erreichen, die schon sensibilisiert sind, heißt es weiter. „Manche Eltern werden nur schwer oder gar nicht erreicht.“ Der Grund: Ein Großteil der Angebote für Eltern sei lediglich auf Deutsch und würde die „unterschiedlichen Lebenslagen von Familien“ nicht adressieren. Das deutet darauf hin, dass aktuelle Hilfsangebote wohl Familien benachteiligen, die ohnehin weniger Privilegien haben.

Wichtig ist dem Bericht zufolge außerdem, dass Eltern und Schulen an einem Strang ziehen: „Digitale Erziehung ist wirksamer, wenn Schule und Elternhaus konsistente Normen und Regeln festlegen“, so die Expert*innen. Ein wirksamer Erziehungsstil setze auf „Wärme, Struktur und Partizipation“. Die Formulierung lässt aufhorchen: Wärme statt Verbote.

Neben Eltern und Lehrer*innen gehen die Expert*innen auf weitere Menschen ein, die helfen können, gerade um „Familien mit Unterstützungsbedarf tatsächlich zu erreichen“. Konkret nennen sie Kinderärzt*innen, Gynäkolog*innen und Hebammen, „da sie in der Regel das Vertrauen der Familien genießen“.

Elternverbände sehen Daten von Kindern in Gefahr

Um Menschen geht es auch in der Kinder- und Jugendhilfe oder der Medienpädagogik. Letztere sei eine „freiwillige Leistung der Länder und Kommunen“, schreiben die Expert*innen; eine verlässliche Finanzierung sei „nicht gegeben“.

Sogar Polizist*innen sollen dem Bericht zufolge die Lage für Kinder und Jugendliche im Netz verbessern. Obwohl die Expert*innen keine Handlungsempfehlungen aussprechen wollen, heißt es im Bericht: Es „fehlt“ an „Formen zufälliger Sichtbarkeit von Polizeibehörden im Sinne einer Form von virtuellen Streifen in Deutschland.“ Der direkte Kontakt mit Beamt*innen im Netz könne angeblich die Bereitschaft junger Menschen erhöhen, Dinge wie Grooming anzuzeigen.

Was all diese Ansätze gemeinsam haben: Eltern und Fachkräfte müssten sich vermehrt Kindern und Jugendlichen widmen. Im Gegensatz zu Verboten und technischen Hürden kostet das Zeit und Geld.

Alterskontrollen: Die Achillesferse des Berichts

Auch Plattformregulierung spielt eine wichtige Rolle im Zwischenbericht. Das zentrale Regelwerk hierfür ist das EU-Gesetz über digitale Dienste (DSA). Demnach müssen unter anderem große Social-Media-Plattformen Maßnahmen zum Schutz junger Menschen ergreifen. Zum Beispiel können sie Chat-Kontakte mit Fremden einschränken oder es Nutzer*innen einfach machen, Vorfälle zu melden.

Eine wichtige Rolle spielen auch manipulative und suchtfördernde Designs, insbesondere die Sogwirkung personalisierter Feeds, von denen man sich ohne starke Impulskontrolle kaum lösen kann. Mithilfe des DSA könnte die EU genau dort ansetzen und Social-Media-Konzerne dazu zwingen, nicht länger die Aufmerksamkeit junger Menschen mit allen Mitteln zu Geld zu machen.

Alterskontrollen sind laut DSA nur eine Option unter mehreren solcher Vorsorgemaßnahmen. Offenbar wollen die Expert*innen Alterskontrollen jedoch mehr ins Zentrum rücken, eventuell zur Pflicht machen. Das zeigt folgender Schlüsselsatz:

Strukturelle Vorsorgemaßnahmen wie sie der DSA vorsieht, können ihre volle Wirksamkeit nur mithilfe einer funktionalen Altersüberprüfung entfalten.

Dahinter steckt ein folgenschwerer Regulierungsansatz. In diesem Fall wären Alterskontrollen überhaupt erst die Grundlage für weitere Jugendschutzmaßnahmen. Sie würden nicht mehr dazu dienen, junge Menschen von einer Plattform auszusperren. Stattdessen würden sie sicherstellen, dass junge Menschen einen Account wirklich nur im passenden Jugendschutz-Modus nutzen. Die mögliche Konsequenz wären großflächige Alterskontrollen über weite Teile des Internets.

Obwohl die Expert*innen noch keine Handlungsempfehlungen aussprechen wollen, fordern sie im Zwischenbericht sogar eine Ausweitung der Alterskontrollen über den aktuellen DSA hinaus: „Ausgangspunkt einer Altersverifikation sollten jedoch grundsätzlich bestehende Risiken für Kinder und Jugendliche sein, daher ist der Schutz auszuweiten“, heißt es. Konkret nennt der Bericht „Klein- und Kleinstunternehmer“, die der DSA aktuell von Jugendschutz-Pflichten ausnimmt.

Auch das hätte weitreichende Folgen: Selbst Unternehmen mit nur einem Angestellten müssten demnach möglicherweise Alterskontrollen für ihre Online-Angebote einführen.

Forschende schlagen Alarm: Kontrollen „nicht hinnehmbar“

Solche Alterskontrollen sind nicht bloß ein Website-Feature. Um, wie oft gefordert, wirksam zu sein, müssen sich Nutzer*innen etwa mit Ausweisdokumenten oder biometrischen Gesichtsscans verifizieren. Die eingangs erwähnten mehr als 400 Forscher*innen aus den Bereichen Technologie, IT-Sicherheit und Privatsphäre warnten in ihrem offenen Brief eindringlich vor den Folgen.

Es fehle ein klares Verständnis dafür, was Alterskontrollen anrichten können – für „Sicherheit, Privatsphäre, Gleichberechtigung“ und die „Autonomie“ aller Menschen. Deren Einführung ohne weitere Forschung sei „gefährlich und gesellschaftlich nicht hinnehmbar“.

Staaten sollen Social-Media-Verbote stoppen

Jüngst hat die EU-Kommission einen Vorschlag zur Umsetzung von Alterskontrollen präsentiert: Eine App, die zunächst nur auf iOS und Android läuft, und primär Ausweispapiere nutzt. Bereits das schafft potenziell gefährliche Abhängigkeiten von den US-Konzernen Apple und Google, führt zu einem Handy-Zwang und benachteiligt Menschen, die keine (oder keine mit der App kompatiblen) Papiere haben.

Rund um die Alterskontroll-App der EU gibt es zudem mehrere technische Unklarheiten und falsche Versprechungen. So soll die App laut EU-Kommission „komplett anonym“ sein, setzt aber noch auf Pseudonyme. Die Spezifikationen der App bieten in der nationalen Umsetzung viele Spielräume, die Privatsphäre schlimmstenfalls weiter schwächen.

Die größte Gefahr von Alterskontrollen liegt jedoch darin, dass sie eine umfassende Kontroll-Infrastruktur im Netz schaffen. Selbst wenn zu Beginn Datenschutz und Privatsphäre im Mittelpunkt stehen: Es bräuchte lediglich eine kleine Anpassung im Code und eine neue Rechtsgrundlage – fertig wären Ausweis- und Klarnamenpflicht im Netz. Alterskontrollen rücken die EU gefährlich nah an eine Form der Massenüberwachung, die in der Türkei gerade auf dem Weg ist.

Reaktion: SPD-Fraktion will „verpflichtende“ Altersverifikation

Für ihren Zwischenbericht mussten sich die Forschenden wohl sehr beeilen. Ursprünglich sollten alle Ergebnisse in Ruhe gemeinsam erscheinen, nach einem Jahr Arbeit. Aber Spitzenpolitiker*innen aus Bund, Ländern und der EU erhöhen seit Monaten den Druck.

Die Co-Vorsitzende der Expert*innen-Kommission hatte dem Tagesspiegel noch im März gesagt: „Ich rate der Politik dringend, uns in Ruhe arbeiten zu lassen“. Daraus ist nichts geworden. Früher als ursprünglich geplant hatten die Expert*innen nun die Bestandsaufnahme vorgelegt. Und selbst das geht manchen nicht schnell genug.

Nach der ersten Veröffentlichung, die ausdrücklich noch keine konkreten Empfehlungen geben sollte, sieht sich die SPD bereits in ihren Forderungen bestätigt. In einer hastigen Pressemitteilung der SPD-Fraktion im Bundestag pochte die jugendpolitische Sprecherin Jasmina Hostert unter anderem auf „verpflichtende, datensparsame Altersverifikation“. Die CDU hatte sich schon per Parteitagsbeschluss im Februar auf verpflichtende Alterskontrollen eingeschworen.

Solche Schnellschüsse werfen die Frage auf, wie viel Respekt die Regierungsparteien gegenüber Wissenschaft und evidenzbasierter Politik haben. Zugleich zeigen sie den Expert*innen, wofür sich die Politik offenkundig am meisten interessiert. Zumindest bisher scheinen die Technikfolgen von Alterskontrollen für die Expert*innen-Kommission keine große Rolle gespielt zu haben.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der französische Präsident Emmanuel Macron schwört die EU auf Alterskontrollen ein. Dafür liegt er unter anderem Kommissionspräsidentin von der Leyen und Bundeskanzler Merz in den Ohren. Mit steigendem Tempo steuert die EU auf eine Ausweispflicht im Netz zu.

Viele Spitzenpolitiker*innen wollen gerade Alterskontrollen und ein Social-Media-Verbot für Minderjährige. Der französische Präsident Emmanuel Macron will es ganz besonders. Medienwirksam treibt er das Vorhaben europaweit voran und versucht, andere Mitgliedstaaten auf Linie zu bringen.

Am gestrigen Donnerstag hat Macron zu einer Videokonferenz geladen. Dabei waren EU-Kommissionspräsidentin Ursula von der Leyen (CDU), Bundeskanzler Friedrich Merz (CDU), die italienische Ministerpräsidentin Giorgia Meloni und weitere hochrangige Vertreter*innen von EU-Mitgliedstaaten. Das Ziel: koordiniert vorgehen.

Auf Twitter-Nachfolger X sprach Macron von einer „Bewegung“. Ein von ihm veröffentlichter Videoclip zeigt eine Aufnahme des Bildschirms mit den zugeschalteten Gästen, darunter Bundeskanzler Merz. „Hier sind rund ein Dutzend Staaten vertreten“, so ein Schriftzug im Videoclip.

Über die Teilnahme des Kanzlers ist die französische Regierung offenbar besonders stolz. Im Vorfeld sagte ein Élysée-Sprecher, das sende ein „Signal“. Im Vergleich zu Frankreich ist die Position der Bundesregierung in Sachen Social-Media-Verbot nämlich noch verhalten.

Den Stein ins Rollen gebracht hatte im Dezember 2025 das Social-Media-Verbot für unter 16-Jährige in Australien. Dort dürfen große Plattformen wie TikTok, Instagram oder YouTube jungen Menschen keine Accounts mehr erlauben. Dafür sollen sie das Alter von Nutzer*innen prüfen. Nun drängen mehrere EU-Mitgliedstaaten auf ein ähnliches Modell.

Rechtssicher möglich wäre das jedoch nur mit einer EU-weiten Regelung. Deshalb erhöhen die Befürworter*innen Woche für Woche den Druck auf die EU-Kommission. Staats- und Regierungsschef*innen, etwa aus Spanien und Deutschland, stellen Forderungen auf oder schreiben der Kommissionspräsidentin dringliche Briefe. Mitgliedstaaten wie Frankreich und Griechenland bringen bereits nationale Gesetze auf den Weg. EU-Parlament und Rat beziehen Position.

Die gestrige Videokonferenz ist also nur der (bisherige) Gipfel der Bemühungen.

Ausweispflicht im Netz? Das droht konkret

Der an den Tag gelegte Eifer könnte den Eindruck erwecken, Europa müsse auf eine plötzliche Katastrophe reagieren. Das ist aber nicht der Fall: Es gibt keine Hinweise, dass soziale Medien aktuell schädlicher wären als beispielsweise vor fünf Jahren. Die Forschungslage über gesundheitliche Gefahren sozialer Medien für Minderjährige ist nach wie vor unklar; Warnungen aus der Wissenschaft sind in der Gesamtschau eher vorsichtig.

Anders sieht jedoch das Bild aus, dass Spitzenpolitiker*innen zeichnen. Ursula von der Leyen hatte diese Woche die neue EU-Alterskontroll-App in ihrer Rede sogar mit der Einführung der Covid-App verglichen. Als wären soziale Medien eine Pandemie, die Europa überrollt und dabei vor allem Kinder und Jugendliche infiziert. Worauf genau steuert Europa da gerade zu?

Das in eine künstliche Drohkulisse gerahmte Vorhaben lässt sich auf vier Module herunterbrechen.

• Erstens geht es um ein EU-weites einheitliches Mindestalter für soziale Medien – ähnlich wie für einen Auto-Führerschein. Es könnte irgendwo zwischen 12 und 16 Jahren liegen. Frankreich will es bei 15 Jahren ansetzen. Schon jetzt geben Plattformen in ihren Nutzungsbedingungen ein Mindestalter vor: etwa 13 Jahre bei TikTok oder 16 Jahre bei YouTube. Für ein EU-weites Mindestalter allein wären die rechtlichen Hürden eher gering.
• Zweitens geht es um die Verpflichtung, dass Plattformen dieses Mindestalter mit strengen Alterskontrollen sichern müssen, etwa auf Basis von Ausweisdokumenten. Eine solche Pflicht gibt es bereits für Pornoseiten, die nur ab 18 Jahren erlaubt sind. Für soziale Medien dagegen gilt das Gesetz über digitale Dienste (DSA), das strenge Alterskontrollen nur als eine von mehreren Optionen vorsieht. Möchte die EU also soziale Medien zu solchen Alterskontrollen verpflichten, müsste der DSA angepasst werden.
• Drittens geht es um die wirksame Durchsetzung einer möglichen Pflicht zu strengen Alterskontrollen. Das Beispiel von Pornoseiten zeigt: Nur weil eine strenge Pflicht de jure gilt, heißt es noch lange nicht, dass Websites sich auch de facto daran halten. Eigentlich dürfte es in der EU keine frei zugänglichen Pornoseiten geben. Seit Jahren laufen dazu Rechtsstreitigkeiten. Social-Media-Seiten sind jedoch weniger rebellisch als Pornoseiten. Sie könnten sich entsprechenden Gesetzen beugen – in Australien tun sie es auch, zumindest widerwillig.
• Viertens geht es um einheitliche Methoden für strenge Alterskontrollen. Die EU hat hierfür jüngst eine Alterskontroll-App vorgestellt, die EU-weit ausgerollt werden soll. Später soll sie in der neuen digitalen Brieftasche (EUDI-Wallet) aufgehen. Nutzer*innen sollen in der App etwa ein Ausweisdokument hinterlegen, das ihr Alter verrät. Die App soll dann lediglich weitergeben, ob eine Person eine bestimmte Altersschwelle überschritten hat. Rund um die App gibt es jedoch mehrere technische Unklarheiten und falsche Versprechungen.

Sobald alle vier Module wie Zahnräder ineinandergreifen, könnte ein mächtiger Kontrollapparat entstehen, der das Internet, wie wir es bisher kennen, umkrempelt. In diesem Szenario wäre es zwar weiterhin möglich, Alterskontrollen mit Tricks zu umgehen – etwa mit einem VPN-Dienst. Dennoch ist davon auszugehen, dass ein Großteil der Nutzer*innen lieber den offiziell gewünschten Weg geht und sich künftig mit einer Ausweis-App durchs Netz bewegt.

Zwei Updates könnten den Überwachungs-Apparat scharfstellen

Für Anonymität im Netz ist das eine Gefahr. Aktuell setzt die Alterskontroll-App der EU auf Pseudonyme, auch wenn die EU-Kommission versucht, die Kontrollen als „komplett anonym“ zu verkaufen. Technische Systeme lassen sich allerdings mühelos verändern. Vom Kontrollapparat zum Apparat für Massenüberwachung wäre es – theoretisch – kein allzu großer Schritt mehr. Dafür bräuchte es nur zwei Updates:

• Ein technisches Update könnte die App von Pseudonymen auf Klarnamen umstellen.
• Ein juristisches Update müsste dafür die entsprechende Rechtsgrundlage schaffen.

Mit der Begründung, Kinder und Jugendliche zu schützen, erschaffen Emmanuel Macron, Ursula von der Leyen und weitere Befürworter*innen von Alterskontrollen also gerade eine neue Infrastruktur, um alle Menschen im Netz umfassend zu kontrollieren. Und diese Infrastruktur wäre nur zwei Updates davon entfernt, Anonymität im Netz weitgehend abzuschaffen.

Weiter wäre es mit diesem Kontrollapparat möglich, bestimmte Personengruppen systematisch aus digitalen Räumen auszuschließen, etwa weil sie eine bestimmte Altersgrenze nicht überschreiten oder weil sie keine erforderlichen Papiere besitzen. – Wie weit ist dieses Szenario entfernt?

Erste Hürde: Die Alterskontroll-App ist nicht fertig

Rund um Alterskontrollen gibt es eine auffällige Diskrepanz zwischen dem, was Befürworter*innen sagen, und dem, was der Fall ist. So hat Kommissionspräsidentin von der Leyen die Alterskontroll-App diese Woche für „technisch fertig“ erklärt. In einem nachgelagerten Pressebriefing betonte ein Pressesprecher mit gepresster Stimme, die App sei „fertig!“. Ein hochrangiger EU-Beamter sprach im selben Pressebriefing von einem „Goldstandard“.

Der Blick in den Code und die Spezifikationen zeigt jedoch: Die App ist nicht fertig. Einiges ist noch nicht abschließend geklärt. So braucht es je nach Nationalstaat und unterstützten Altersnachweisen eigene Umsetzungen der App. Dabei gibt es viele Spielräume, die am Ende mehr oder weniger Privatsphäre versprechen. IT-Sicherheitsexperten warnen bereits vor Lücken.

Deutschland wiederum will die Alterskontroll-App gar nicht erst einführen, wie jüngst ein Sprecher des Digitalministeriums gegenüber der Süddeutschen Zeitung (SZ) erklärte. Offenbar liegt der Fokus in Deutschland auf der digitalen Brieftasche.

Aus der Bundesagentur für Sprunginnovationen heißt es laut SZ: Die technischen Standards der Alterskontroll-App würden von jenen aus der Verordnung für die digitale Brieftasche abweichen, „ohne, dass dadurch ein Mehrwert entsteht“. Das deutet darauf hin: Der angebliche „Goldstandard“ könnte zum Rohrkrepierer werden.

Zweite Hürde: Der DSA steht im Weg

Weiter ist noch nicht entschieden, ob und inwiefern die EU-Kommission bereit wäre, Social-Media-Plattformen zu strengen Alterskontrollen zu verpflichten. Dafür müsste sie nämlich den DSA anfassen. Gibt es dafür einen politischen Willen? In ihren Äußerungen zur Videokonferenz mit Macron, von der Leyen und weiteren Spitzenpolitiker*innen hielt sich die EU-Kommission offenbar bewusst alle Türen auf.

Ursula von der Leyen schrieb auf Twitter-Nachfolger X: „Mit dem DSA haben wir EU-weite Regeln.“ Eltern sollten sich keine Sorgen machen. Das deutet darauf hin: Nein, es kommen keine neuen Gesetze, die über den DSA hinausgehen.

Am selben Tag allerdings sagte ein Kommissionssprecher dem Fachmedium Mlex: „Natürlich erwarten wir von Online-Plattformen, einschließlich sozialer Medien, dass sie angemessene Verfahren zur Altersverifikation haben, wenn für ihre Dienste Altersbeschränkungen gelten.“ Das wiederum deutet in eine andere Richtung: Die EU-Kommission könnte versuchen, bei der Durchsetzung des DSA auf strenge Altersverifikation zu pochen. Plattformen allerdings könnten sich dann rechtlich dagegen wehren und auf den Spielräumen beharren, die ihnen laut DSA zustehen.

Aktuell muss die EU-Kommission über das französische Social-Media-Verbot bis 15 Jahre entscheiden, und zwar im sogenannten Notifizierungsverfahren. Hier soll sich klären, ob das geplante nationale Gesetz mit EU-Recht vereinbar ist. Das könnte eng werden: In zwei Gutachten hatten die Wissenschaftlichen Dienste des Bundestags keine Spielräume für nationale Alleingänge bei diesem Thema gesehen.

Die Wissenschaftlichen Dienste arbeiten laut Selbstbeschreibung parteipolitisch neutral und sachlich objektiv. Als die französische Regierung jüngst in einem Pressebriefing auf deren juristisch fundierte Einschätzung angesprochen wurde, wollte sie davon nichts wissen. Ein Sprecher weigerte sich, zu kommentieren, was „irgendein“ deutsches Gremium sage.

Wissenschaft und Zivilgesellschaft im Abseits

Ähnlich wie die EU-Kommission hält sich Deutschland noch alle Türen auf. Zwar haben bereits Kanzler, Vizekanzler, die CDU und wichtige SPD-Politiker*innen Position bezogen – für ein Social-Media-Verbot für Minderjährige plus Alterskontrollen. Die CSU dagegen ist skeptisch. Und die Bundesregierung teilte jüngst mit, sie habe sich noch nicht festgelegt.

Mit zunehmender Ungeduld schielen die Befürworter*innen des Modells auf zwei Expert*innen-Kommissionen; eine auf Deutschland- und eine auf EU-Ebene. Dort sollen Fachleute bis spätestens Sommer Handlungsempfehlungen für Jugendschutz im Netz vorlegen. Ihnen dürfte allerdings bewusst sein, dass Politiker*innen auf höchster Ebene gerade Entscheidungen vorwegnehmen. Wie groß ist wohl das Interesse der Forschenden, den Staats- und Regierungschef*innen mit möglicherweise abweichenden Positionen in die Parade zu fahren?

Keinerlei politisches Gehör findet derweil eine breite interdisziplinäre Palette an Kritiker*innen aus den Bereichen Kinderschutz, Pädagogik und Wohlfahrt, aus Elternverbänden, aus Datenschutz und IT-Sicherheit bis hin zur Kirchen-Organisationen. Viele lehnen sowohl ein pauschales Social-Media-Verbot für Minderjährige ab als auch strenge Alterskontrollen für alle. Kinder und Jugendliche mit ihren Interessen und Bedürfnissen kommen in der politischen Debatte – wenn überhaupt – nur am Rande vor.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit einer Handy-App für iOS und Android sollen Menschen in der EU künftig ihr Alter gegenüber Plattformen nachweisen. Doch der Nutzen zum Schutz von Kindern und Jugendlichen ist fraglich. Nutzende sollen zudem ihr Gesicht scannen lassen.

EU-Kommissionspräsidentin Ursula von der Leyen (CDU) und Digitalkommissarin Henna Virkkunen haben heute die neue Alterskontroll-App der EU vorgestellt. Mit ihr sollen Menschen in der EU ihr Alter gegenüber altersbeschränkten Online-Diensten nachweisen können.

Von der Leyen zufolge sei die App „technisch fertig“ und funktioniere auf „jedem“ Gerät. Allerdings soll es die App zunächst nur für iOS und Android geben. Auf den üblichen App-Marktplätzen ist sie zudem noch nicht verfügbar. Das heißt, die App ist noch nicht fertig und läuft nicht auf jedem Gerät.

Vielmehr sollen nun Entwickler*innen den Code nutzen, um daraus eigene Versionen der App zu bauen und auf den Markt zu bringen. Die EU-Kommission hofft sogar darauf, dass die App ein weltweiter „Goldstandard“ werde, wie ein Kommissionsbeamter in einem nachgelagerten Pressebriefing erklärte.

Alterskontrollen sind einerseits eine Option, mit der Plattformen Minderjährige schützen sollen; Grundlage ist das Gesetz über digitale Dienste (DSA). Andererseits sind verpflichtende Alterskontrollen eine Kernforderung für die Durchsetzung eines Social-Media-Verbots für Minderjährige, auf das mehrere EU-Mitgliedstaaten derzeit drängen.

Nutzende sollen ihr Gesicht scannen lassen

Bereits vor einem Jahr hatte die EU ein Konzept für die App vorgestellt; wenig später folgte ein Prototyp mit Google-Bindung. In der App sollen Nutzer*innen zunächst ihr Ausweisdokument hinterlegen können. Dann sollen sie per Handy-Kamera ihr Gesicht scannen lassen, wie ein neues Werbevideo der EU-Kommission zeigt.

Die App soll daraufhin prüfen, ob das gescannte Gesicht mit dem Foto auf dem Ausweis übereinstimmt. Dabei kommt offenbar ein biometrischer Vergleich zum Einsatz. Einmal eingerichtet soll die App einem Online-Dienst mitteilen können, ob man bereits 18 Jahre alt ist oder nicht – ein Klarname soll nicht übermittelt werden.

Dass die App auch das Gesicht der Nutzer*innen scannen soll, war zuvor nicht Thema. Selbst in ihrer Rede zur Vorstellung der App betonte von der Leyen: Man wolle nicht, dass Plattformen Gesichter scannen. Ein Scan durch die Alterskontroll-App dagegen ist für die EU-Kommission offenbar in Ordnung.

Für die Akzeptanz in der Bevölkerung könnte das ein Problem sein. Gegenüber netzpolitik.org sagte etwa Anja Treichel, Geschäftsführerin des Vereins „Bundeselternnetzwerk der Migrantenorganisationen für Bildung & Teilhabe“, im März:

Viele Familien – insbesondere solche mit Flucht- oder Migrationserfahrungen und solche, die in Diktaturen/ autoritären Regimen aufgewachsen sind – sind sensibel gegenüber staatlicher oder kommerzieller Datenerfassung. Biometrische Verfahren können Vertrauen in digitale Angebote untergraben. Alterskontrollen sollten daher möglichst datensparsam und freiwillig gestaltet sein.

Von der Leyen nennt irreführende Gründe für Alterskontrollen

Die Rede der Kommissionspräsidentin zur neuen Alterskontroll-App ist an mehreren Stellen lückenhaft oder irreführend. Zunächst listet von der Leyen eine Reihe von Risiken und Gefahren für Minderjährige auf, die sich angeblich mithilfe der Alterskontroll-App bekämpfen lassen sollen:

• Cybermobbing
• suchtfördernde Designs
• personalisierte Inhalte
• Bildschirmzeit
• schädliche und illegale Inhalte
• Grooming, also die sexuelle Anbahnung von Kontakten durch Erwachsene

Für einen Großteil dieser Gefahren erweisen sich Alterskontrollen jedoch als Scheinlösung.

Cybermobbing erleben junge Menschen in großen Teilen im Umfeld aus Gleichaltrigen, oftmals sogar Mitschüler*innen – Alterskontrollen können dagegen nichts ausrichten.

Suchtfördernde Designs und personalisierte Inhalte lassen sich durch das Gesetz über digitale Dienste und möglicherweise den kommenden Digital Fairness Act abmildern oder gänzlich verbieten. Das schützt nicht nur Minderjährige, sondern alle. Es wäre im Vergleich dazu weniger zielführend, lediglich jüngere Menschen von betroffenen Plattformen auszuschließen.

Bei der Bildschirmzeit junger Menschen in Deutschland wiederum spielt laut KIM-Studie 2024 Fernsehen eine dominante Rolle. Alterskontrollen für Online-Dienste dürften daran wenig ändern. Die drei häufigsten Freizeit-Aktivitäten von unter 14-Jährigen in Deutschland sind der Studie zufolge: Freund*innen treffen, Fernsehen, Hausaufgaben. Erst weiter hinten kommen „Videos, Filme und Serien online“ – noch hinter der Aktivität „Draußen spielen“.

Schädliche und illegale Inhalte suchen und finden junge Menschen auch gezielt auf Seiten, die sich nicht an Regeln halten. Eine Rolle spielen dabei unter anderem Neugier und Mutproben. Alterskontrollen dürften den Zugang hierzu nicht stoppen.

Beim Grooming suchen Erwachsene über Chats Kontakt zu Minderjährigen, gerade an digitalen Orten, wo sich viele junge Menschen aufhalten. Hier könnten nach Alter abgestufte Funktionen ein Baustein sein. So lassen sich Accounts von Minderjährigen etwa abhärten, sodass Fremde sie schwerer kontaktieren können. Denkbar wäre auch, Direktnachrichten von Erwachsenen an junge Menschen einzuschränken. Flächendeckende, ausweisbasierte Kontrollen bräuchte es dafür jedoch nicht; eine Alternative sind sichere Voreinstellungen.

Von der Leyen ignoriert Warnungen aus der Wissenschaft

Die zweite Leerstelle in von der Leyens Rede: Sie blendet fundamentale Bedenken an Alterskontrollen aus. Anfang März haben 400 Forscher*innen aus 29 Ländern in einem offenen Brief gefordert: Staaten sollen ihre Pläne für Alterskontrollen stoppen. Es fehle ein klares Verständnis für die Folgen der Technologie in Bezug auf „Sicherheit, Privatsphäre, Gleichberechtigung“ und die „Autonomie“ aller Menschen. Die Einführung von Alterskontrollen ohne weitere Forschung sei „gefährlich und gesellschaftlich nicht hinnehmbar“.

Ein zentraler Kritikpunkt an Alterskontrollen sind Einschnitte in die Grundrechte auf Teilhabe und Information von allen, die die neuen Hürden nicht überwinden können oder wollen. Es geht um allein in Deutschland schätzungsweise Hunderttausende Menschen, die keine Papiere haben – oder zumindest keine, die mit einer Ausweis-App kompatibel wären. Hinzu kommen Menschen, die ihre Ausweispapiere schlicht nicht digital scannen wollen oder kein (geeignetes) Handy haben.

Für sie müsste es also Alternativen geben. Eine bereits verbreitete Methode sind – einmal mehr – KI-basierte Gesichtsscans. Dann würde eine Software das Alter einer Person abschätzen. Die deutsche Medienaufsicht empfiehlt diese Technologie bereits für unter anderem Pornoseiten; in Australien kommt sie für altersbeschränkte Social-Media-Plattformen zum Einsatz. Einerseits ist solche Software fehleranfällig und diskriminierend, andererseits birgt die Technologie Risiken für Datenschutz und Privatsphäre.

Die App soll auf Google, Apple und Pseudonyme setzen

An mindestens zwei Stellen preist von der Leyen Fähigkeiten der App an, die nicht den online beschriebenen Funktionen entsprechen.

Erstens sei die App von der Leyen zufolge „komplett anonym“. Anonym bedeutet ohne Namen. Aktivitäten lassen sich niemandem zuordnen. In den App-Spezifikationen steht jedoch: „Es werden Domain-spezifische Kennungen oder Pseudonyme verwendet“. Das kann bedeuten: Je nach Online-Dienst erhalten Nutzer*innen ein Pseudonym, zum Beispiel für eine bestimmte Videoseite. Folglich wäre es möglich, dass diese Videoseite durchaus mehrere Aktivitäten diesem einen Pseudonym zuordnen kann.

Von einem Pseudonym zum Klarnamen wäre es dann mitunter nicht mehr allzu weit. Denn Website-Betreiber*innen könnten zur Unterscheidung von Nutzer*innen weitere Eckdaten heranziehen, etwa IP-Adresse und Browser-Einstellungen. Eine tatsächlich anonyme Alterskontrolle würde dagegen ohne ein solches Domain-spezifisches Pseudonym arbeiten. Nutzer*innen würden gegenüber Website-Betreibenden bei jeder Session als jemand anderes erscheinen.

Weiter erklärte von der Leyen, die App solle für „jedes“ Gerät verfügbar sein. Die Kommissionspräsidentin zählte daraufhin jedoch keine Betriebssysteme auf, sondern Hardware: „Handy, Tablet, Computer“. Das ist irreführend. Ausdrücklich erwähnt werden in den Spezifikationen der App nur die mobilen Betriebssysteme iOS und Android. Die Veröffentlichung einer Alterskontroll-App für andere Plattformen ist demnach nur optional. Freie und alternative Betriebssysteme wie Linux fallen unter den Tisch.

Auch Nachfrage von netzpolitik.org bestätigt ein EU-Beamter, dass sich die EU-Kommission bei der bisherigen Arbeit an der App auf iOS und Android fokussiert habe. Das heißt: Wer künftig sein Alter nachweisen will, muss ein entsprechend ausgestattetes Handy haben. Allerdings wolle man sicherstellen, dass zumindest in Zukunft „jedes“ andere System abgedeckt werde, so der Beamte. Dabei verwies er auf den „Markt“.

Der Markt dürfte hier allerdings keine große Hilfe sein. Gerade wenn es um nicht-kommerzielle Alternativen geht, die wenig finanzielle Anreize bieten. Bis auf Weiteres setzt die Alterskontroll-App also auf kommerzielle, von US-Konzernen kontrollierte Betriebssysteme – eine schlechte Nachricht für sogenannte technologische Souveränität.

Wer nicht mitmachen will, soll ein VPN nutzen

Wasserdicht sind die mit der App geplanten Alterskontrollen ohnehin nicht, das weiß auch die EU-Kommission. So fragte ein Journalist im Pressebriefing, ob sich auch Tourist*innen, etwa aus den USA, mit der App verifizieren müssten, falls sie ihren Urlaub auf Instagram begleiten wollten. Daraufhin erklärte der EU-Beamte: Ja, das müssten sie – oder aber sie nutzten einen VPN-Dienst.

Mit einem VPN-Dienst können Nutzer*innen gegenüber Online-Diensten einen anderen IP-basierten Standort vortäuschen. So lässt sich der Eindruck erwecken, sie riefen eine Seite nicht etwa aus der EU auf, sondern beispielsweise von einem anderen Kontinent. Die an einen EU-Standort gebundenen Alterskontrollen entfallen.

Der Trick mit dem VPN gilt jedoch nicht nur für US-Tourist*innen, sondern für alle, die Alterskontrollen umgehen möchten. Also auch für Minderjährige, die die EU-Kommission mit ihrer Alterskontroll-App angeblich vor unter anderem Mobbing oder suchtfördernden Designs schützen will.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit der finnischen EU-Abgeordneten Aura Salla soll eine ehemalige Meta-Lobbyistin maßgeblich am geplanten digitalen Regulierungsabbau in der EU mitwirken. Nun fordern mehrere Nichtregierungsorganisationen ihre Abberufung als Chef-Verhandlerin des EU-Parlaments.

Die finnische EU-Abgeordnete Aura Salla ist in Brüssel bestens vernetzt. Vor ihrer Zeit im EU-Parlament war die konservative Politikerin dort Chef-Lobbyistin von Meta. Davor hatte Salla diverse Positionen in der EU-Kommission bekleidet, unter anderem war sie im Kabinett des damaligen Vize-Präsidenten Jyrki Katainen tätig.

Von der Politik in die Privatwirtschaft und wieder zurück: Das als „Revolving Door“ bekannte Phänomen sorgt immer wieder für Probleme, da es schnell zu Interessenskonflikten führt. Zumindest auf dem Papier ist die EU dagegen gewappnet: Ein detailliertes Regelwerk soll verhindern, dass Beamt:innen nahtlos von einer Rolle in die nächste schlüpfen und dabei etwa Kontakte und Wissen mitnehmen, das sie im neuen Job eigentlich nicht haben sollten.

Für Aura Salla könnte es deshalb nun eng werden. Eine Reihe zivilgesellschaftlicher Organisationen, darunter Corporate Europe Observatory (CEO), LobbyControl und Transparency International EU fordern in einem heute veröffentlichten offenen Brief an den Industrieausschuss (ITRE) im EU-Parlament, Salla von ihrer Rolle als Berichterstatterin für den sogenannten Digitalen Omnibus abzuberufen.

Unter diesem Begriff verhandelt die EU derzeit ein Gesetzespaket, mit dem die Digitalregulierung überarbeitet und entschlackt werden soll. Ziel sind vereinfachte Regeln, um die Wettbewerbsfähigkeit Europas zu verbessern. Kritiker:innen weisen darauf hin, dass mit dem Regulierungsabbau unter anderem das Datenschutzniveau empfindlich abgesenkt würde. Als eine der Berichterstatterinnen – und damit Verhandlungsführerinnen – des EU-Parlaments hätte Aura Salla dabei viel Einfluss auf das fertige Gesetz.

Ehemalige Meta-Lobbyistin mischt kräftig mit

„Die Ernennung einer ehemaligen Big-Tech-Lobbyistin, um Digitalgesetze zu überarbeiten und zu schwächen, wirft schwerwiegende Fragen hinsichtlich unzulässiger Einflussnahme auf den Gesetzgebungsprozess auf“, so die NGOs in ihrem Schreiben. Gerade Meta, zu dem Facebook, Instagram und WhatsApp gehören, steht bekanntlich mit Vorgaben wie jenen zum Datenschutz auf Kriegsfuß. Rund 2,5 Milliarden Euro an Geldbußen wurden dem Datenkonzern wegen wiederholter Vergehen in der EU auferlegt.

„Das Unternehmen hat ein starkes Interesse daran, die Datenschutz-Grundverordnung (DSGVO) durch den Digitalen Omnibus zu schwächen, und kann seine engen Verbindungen zu Frau Salla nutzen, um dies zu erreichen“, warnen die NGOs. Tatsächlich habe sich Salla als Abgeordnete bereits mehrfach mit ihrem ehemaligen Arbeitgeber getroffen, unter anderem bei einem Lobbytreffen im September 2024 und einem weiteren im Januar 2025.

Bereits jetzt lässt sich am Omnibus-Entwurf der Kommission der Einfluss der Wirtschaft ablesen, wie eine gemeinsame Analyse von CEO und LobbyControl im Januar ergeben hatte. Mit Industrieforderungen praktisch deckungsgleiche Vorschläge durchziehen den gesamten Entwurf, der in der Leseart der NGOs einen „beispiellosen Angriff auf digitale Rechte“ darstellt. Zudem lese sich der Vorschlag wie eine Wunschliste ausgerechnet US-amerikanischer Tech-Konzerne, anstatt europäische Unternehmen zu stärken.

Voll auf Deregulierungslinie

Ähnliche Positionen wie die Tech-Konzerne vertritt auch Aura Salla. Die zur konservativen EVP-Fraktion gehörende Politikerin warnte etwa vor einem „Regulierungs-Tsunami“, fürchtet Überregulierung durch Gesetze wie den Digital Services Act und möchte Tech-Konzernen erlauben, Verkehrs- und Metadaten ihrer Nutzer:innen möglichst ungehindert zum Trainieren ihrer KI-Systeme verwenden zu können.

Nach ihrer Bestellung zur Berichterstatterin zeigte Salla auf, in welche Richtung sie den Digitalen Omnibus lenken will: „Jahrelang konzentrierte sich die EU auf die Regulierung ihrer eigenen Unternehmen, während China und die USA in Wachstum und technologische Entwicklung investierten. Das endlose Klicken durch Cookie-Einstellungen und die sich überschneidenden und unklaren Regeln für Unternehmen haben das Internet nicht sicherer gemacht, sondern das Wachstum europäischer Unternehmen gebremst. Europäische Unternehmen müssen endlich Priorität haben“, schrieb sie in einer Pressemitteilung.

Zugleich sieht Salla die EU nicht notwendigerweise in der Verantwortung: „Big Tech sollte in ihren Heimatkontinenten reguliert werden“, sagte sie Ende 2024 dem Magazin Wired. In vielen Fällen wären das die USA, so Salla – ein Land, das traditionell reichlich wenig von Regulierung hält, erst recht unter Präsident Donald Trump und seinen Tech-Oligarchen wie Mark Zuckerberg im Schlepptau. Indes schlägt Salla „Maßnahmen wie Zölle, Datenpreismechanismen oder eine Digitalsteuer für Unternehmen außerhalb der EU“ vor. Diese Ansätze dürften jedoch kaum im Digitalen Omnibus verhandelt werden.

Halb verdeckte Interessenkonflikte

Ein ungünstiges Licht auf Salla werfe zudem ihre Tendenz, „wiederholt potenzielle Interessenkonflikte zu verschleiern“, kritisieren die NGOs. So hatte sie etwa nicht offengelegt, Anteile an Rüstungsbetrieben zu halten, obwohl diese Transparenz EU-Abgeordneten ausdrücklich vorgeschrieben ist. Erst Berichterstattung des Online-Mediums Follow the Money hat sie letztlich gezwungen, ihre Aktien zu verkaufen.

Auch als Omnibus-Berichterstatterin sieht Salla keine Interessenskonflikte. In ihrer offiziellen Erklärung hierzu – eine Pflicht für Berichterstatter:innen – hat sie im Februar die einschlägige Frage verneint. Aus Sicht der NGOs verstößt sie damit gegen die Transparenzregeln, die für Abgeordnete gelten.

Auf Anfrage weist Salla die Vorwürfe zurück. Ab ihrem Eintritt in den Mutterschutz im Februar 2023 habe sie nicht mehr für Meta gearbeitet und seit ihrem endgültigen Abschied im Mai 2023 auch kein Geld bekommen, sagt Salla zu netzpolitik.org:„Selbstverständlich habe ich seit meinem Ausscheiden keine Zahlungen mehr von dem Unternehmen erhalten“. Im Zusammenhang mit der Berichterstatterrolle „habe ich keine laufende berufliche Tätigkeit, keine finanziellen Interessen und keine persönlichen Interessen, die einen Interessenkonflikt darstellen könnten“, sagt Salla.

Als Berichterstatterin wolle sie dem europäischen öffentlichen Interesse dienen und die Wettbewerbsfähigkeit Europas stärken, so die Abgeordnete. „Ich habe meine Ansichten zur Notwendigkeit der technologischen Souveränität der EU, zur Beseitigung der Abhängigkeit von amerikanischen Technologiekonzernen und zur Förderung europäischer Alternativen stets deutlich zum Ausdruck gebracht“, sagt die Finnin.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit Spionage-Apps können Menschen tief in das digitale und analoge Leben anderer eindringen. Aber es gibt Möglichkeiten, den Überwachungstools beizukommen. Dafür muss die Bundesregierung endlich handeln. Ein Kommentar.

Stell dir vor, du wirst von deinem Ex-Partner verfolgt. Er lauert dir immer wieder auf, fängt dich vor dem Kino ab oder setzt sich im Zug neben dich, um dir Gespräche aufzuzwingen. Über ein Browser-Interface sieht er, wo du bist, und erfährt intimste Details aus deinem Leben.

Für viele Frauen ist das Realität. Jede 100. Frau in Deutschland ist in den vergangenen fünf Jahren mit digitalen Tools gestalkt worden, das zeigt eine aktuelle Studie des Bundeskriminalamtes.

Spionage-Apps, AirTags, GPS-Tracker und andere technische Hilfsmittel gehören heute zum Standardrepertoire von Stalkern. Dabei sind die Spionage-Apps besonders heimtückisch. Mit ihnen braucht man keine Ortungsgeräte und keine Wanzen, um eine Person zu überwachen. Sie machen das Mobiltelefon zu einem multimedialen Kontrollinstrument. Zu einem, das die Betroffenen ganz freiwillig mit sich tragen.

Betroffene, die zur Polizei gehen, bekommen dort oft nur Unverständnis entgegengebracht. Das Wissen darum, dass derartige Spionage-Programme leicht zugänglich sind, ist noch viel zu wenig verbreitet. Expert*innen fordern Schulungen für Ermittler*innen, sowie Protokolle, die sie darauf verpflichten, bei der Erfassung häuslicher Gewalt immer auch eine mögliche digitale Ebene mitzudenken. Eigentlich müsste jede Stelle, die mit gewaltbetroffenen Personen in Kontakt kommt, eine Vorstellung davon haben, was digitale Gewalt bedeutet und was zum Schutz der Betroffenen zu tun ist.

Und wieso sind Programme, die es ermöglichen, andere heimlich über ihr eigenes Telefon auszuspionieren, in Deutschland überhaupt legal erhältlich? Die Nutzung von Spionage-Apps ist mit sechs Monaten bis fünf Jahren Haft hinreichend strafbewehrt. Aber um sie wirklich eindämmen zu können, muss die Bundesregierung auch die Hersteller*innen der Tools ins Visier nehmen. Spielzeug beispielsweise, das heimlich Audio- oder Videoaufnahmen machen kann, ist illegal. Das gleiche sollte für Apps gelten, die ein Smartphone zu einer solchen Abhöranlage machen.

Gesetzeslücken schließen, Unterstützung ausbauen

Die schwarz-rote Regierungskoalition hat in ihrem Koalitionsvertrag versprochen, diese Gesetzeslücke zu schließen. Die Überwachungs-Tools sollen demnach regelmäßig das Einverständnis der Besitzer*innen der betroffenen Telefone abfragen müssen. So könnten Eltern, wenn es denn unbedingt sein muss, ihre Kinder weiter überwachen. Es wäre aber sehr viel schwerer, eine Partnerin oder Ex-Partnerin heimlich und illegal auszuspionieren. Bisher sind es nur Versprechen und Pläne, passiert ist noch nichts.

Mindestens ebenso wichtig wie die Regulierung und Strafverfolgung wäre aber noch eine dritte Ebene im Kampf gegen digitale Gewalt, eine, die noch früher ansetzt: die Unterstützung der Betroffenen. Derzeit gilt: Wer fürchtet, digital ausgespäht und gestalkt zu werden, braucht IT-affine Freunde und Glück. Es gibt nach wie vor zu wenige Beratungsstellen für digitale Gewalt. Solche Anlaufstellen zu schaffen und diese mit genug Geld und kompetentem Personal auszustatten, das sollte jetzt höchste Priorität bekommen.

Das kostet viel Geld. Aber es ist nicht verhandelbar. Deutschland hat die Istanbul-Konvention unterzeichnet und sich damit dazu verpflichtet, alles dafür zu tun, um geschlechtsspezifische Gewalt zu bekämpfen, Betroffenen Schutz und Unterstützung zu bieten und Gewalt zu verhindern. Jetzt muss es diese Verpflichtung auch umsetzen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Aikos Ex-Partner verwanzt ihr Handy. Er kann sehen, was sie liest, was sie tippt, wo sie ist. Er lauert ihr immer wieder auf und verfolgt sie bis nach China. Dieser Fall zeigt, wie invasiv und bedrohlich frei verfügbare Spionage-Apps sind.

Seit ihrer Trennung ist Aiko eine vorsichtige Frau geworden. Bevor sie ihren Wohnblock verlässt, wartet sie still im Eingangsbereich. Dort gibt es mehrere Türen mit Glaseinsätzen. Sie versucht zu erkennen, ob draußen jemand ist. Es könnte ja sein, dass Tom ihr wieder auflauert. Er hat schon oft auf sie gewartet oder sie auf der Straße abgefangen. Er hat sich ihr von hinten genähert und sie festgehalten. Sie sagt, Tom wollte immer wieder reden, reden, reden, über ihre Beziehung, obwohl Aiko diese schon vor Jahren beendet hat.

Um Tom zu entkommen, hat Aiko ihn wiederholt angezeigt, ein Annäherungsverbot erwirkt, eine Auskunftssperre bei den Meldebehörden hinterlegen lassen, sie ist in eine neue Stadt gezogen. Doch Tom taucht immer wieder auf. Auch an diesem Tag im Sommer 2025 steht er vor der Tür. Aiko kann das Haus nicht verlassen, ohne sich mit ihm auseinanderzusetzen. Sie ruft die Polizei – wie schon so oft.

Diese Geschichte ist eine von Gewalt. Es geht um Macht und Kontrolle und um eine Spionage-App, die jede*r mit wenigen Klicks im Netz ordern kann und mit der Menschen illegal ihre (Ex-)Partner*innen ausspähen. Jede 100. Frau wurde in den vergangenen fünf Jahren mit digitalen Mitteln gestalkt, so das Bundeskriminalamt. Aiko ist eine der Betroffenen. Mit ihrer Geschichte wird in Deutschland erstmals ein Fall öffentlich, in dem nachgewiesenermaßen eine Spionage-App als Mittel der Partnerschaftsgewalt eingesetzt wurde. Nach der Trennung installierte Tom diese auf Aikos Telefon.

Über ein Browser-Interface konnte Tom sehen, wo Aiko gerade unterwegs war, und lesen, was sie tippte. Er konnte ihre Passwörter abgreifen, ihre Chatnachrichten und E-Mails, die Anrufliste, die Kontakte, den Kalender, die Bilder und Videos, den Browser-Verlauf. Er drang tief in ihr digitales und analoges Leben ein.

Ein paar Minuten allein mit Aikos Handy

Um sie zu schützen, haben sie und Tom hier andere Namen. netzpolitik.org hat mit Aiko gesprochen und Menschen aus ihrem Umfeld befragt. Zahlreiche Dokumente und geleakte Daten aus dem Kundendienst der Spionage-App mSpy bestätigen ihre Schilderungen. Eine forensische Analyse von Aikos Telefon, die ein IT-Sicherheitsexperte für netzpolitik.org durchgeführt hat, belegt zudem, dass das Gerät mit mSpy infiziert ist.

Um mSpy zu installieren, muss man das Zieltelefon für ein paar Minuten in der Hand halten. Tom hatte, so Aiko, viele Gelegenheiten, bei denen er allein mit ihrem Telefon war.

netzpolitik.org hat Tom mit den in diesem Text geschilderten Geschehnissen und Aikos Vorwürfen konfrontiert. Einen großen Teil davon hat er bereits in Gerichtsverfahren eingeräumt. Gegenüber netzpolitik.org erklärt er nur, dass ihm zu vielen der geschilderten Punkte Belege vorlägen, die eine „deutlich andere Sicht auf die Geschehnisse zulassen“. Im Einzelnen will er sich nicht äußern und verweist auf zwei noch laufende Berufungsverfahren.

„Ich dachte, er ist ein aufrichtig guter Mensch“

Die Geschichte von Tom und Aiko beginnt Anfang 2021. Sie treffen sich auf der Dating-Plattform Bumble. Tom ist Nachwuchsregisseur, in Interviews wirkt er eloquent, zu öffentlichen Anlässen trägt er einen schmal geschnittenen Anzug. Seine Agentur schreibt über ihn, dass er mit seiner Arbeit Menschen sichtbar machen wolle, die sonst nicht gesehen würden. Auch Aiko arbeitet in einem kreativen Beruf. In ihrer Freizeit geht sie gerne ins Kino oder reist mit Freundinnen zu Kunstausstellungen.

Laut Aiko verband sie und Tom das Interesse für Kunst, Filme und Design. „Ich dachte, dass er die gleichen humanistischen Werte hat wie ich, dass er ein Idealist ist, ein aufrichtig guter Mensch“, sagt Aiko heute. Sie spricht leise, sucht nach den richtigen Worten. Immer wieder hebt sie fragend den Blick, als müsse sie die Erlaubnis zum Sprechen erst einholen.

Von August 2021 bis Mai 2022 sind Tom und Aiko ein Paar. Dann habe sie entdeckt, dass Tom mit vielen anderen Frauen Kontakt hat, sagt Aiko. Sie habe Sexvideos auf einem Datenträger gefunden. Eines, das sie mit ihm gemacht habe, sieben weitere von ihm und anderen Frauen. Sie sagt, sie habe Schluss gemacht, Tom auf mehreren Messengern blockiert. Doch er habe immer wieder im Treppenhaus gestanden. Mehrere Male habe sie zugelassen, dass er in ihre Wohnung kommt. „Ich wollte extrem von ihm weg. Aber ich bin nicht weggekommen“, sagt Aiko.

Wegen dem, was dann folgt, zeigt Aiko Tom an. Die Staatsanwaltschaft fasst Aikos Schilderungen so zusammen: „Der Beschuldigte soll seine Lebensgefährtin mehrfach auf ein Bett gedrückt, ihr mit der erhobenen Faust gedroht und mit der Faust ein Loch in eine Tür geschlagen haben.“ Zu einer anderen Gelegenheit habe er Aiko, „die zwischenzeitlich ins Badezimmer gegangen war, um von dort die Polizei zu verständigen, ihr Mobiltelefon abgenommen. Als sie in der Folge anfing zu schreien und aus dem Fenster um Hilfe zu rufen, soll der Beschuldigte ihr die Hand auf den Mund gedrückt und sie vom Fenster weggezogen haben.“

Die Staatsanwaltschaft hat keine Anklage erhoben. Sie sah kein öffentliches Interesse an der Strafverfolgung.

Nachrichten an den mSpy-Kundendienst

Am 10. Januar 2023 schickt jemand von dem E-Mail-Account, den Toms Filmhochschule für ihn damals bereitstellt, eine Nachricht an den Kundendienst der Spionage-App mSpy. Dieser Mensch schreibt, er habe ein Problem: Er sehe zwar wie gewünscht den Standort des Zieltelefons, aber es übermittele nicht mehr, was darauf getippt wird.

Auf der Suche nach einer Lösung bombardiert er den Kundendienst mit dutzenden Nachrichten. Dieser rät dazu, eine Nachricht mit dem Inhalt „1000000“ an das Zieltelefon zu senden, um die App neu zu starten. Der Kunde präsentiert einen Entwurf.

aiko rede bitte mit mir anstatt mich zu blocken zum 1000000 mal. bitte aiko. das zerstört mich so sehr.

Später nennt er das Modell des Telefons, das er überwachen will. Es ist das Modell, das Aiko nutzt. MSpy hat auf Nachfragen zum Fall nicht reagiert.

Die Nachrichten sind öffentlich, nachzulesen in einem Datensatz, mit dem Millionen von Chats im Netz landeten, die Nutzer*innen mit dem Kundendienst der Spionage-App geführt haben. Die Plattform Distributed Denial of Secrets hat den Datensatz im Juni 2024 veröffentlicht. Die Hackerin maia arson crimew gibt an, dass ihr das Paket von einer anonymen Quelle zugespielt wurde.

Von Anfang 2023 bis zum Juni 2024 kontaktiert demnach jemand von Toms E-Mail-Account aus den Support mit einer gut dreistelligen Zahl von Nachrichten. Dieser Mensch hat anscheinend mehrfach physischen Zugriff auf das Zieltelefon und installiert mSpy nach Ausfällen wiederholt neu. Er will mSpy mehrere Male kündigen, weil Funktionen ausfallen, und bucht den Service dann doch wieder.

Jahre später wird Tom wegen Nachstellung mit Hilfe einer Software vor Gericht stehen. Dabei gibt er zu, dass er die App am 28. April 2024 installiert hat und damit bis zum 24. November Zugriff auf Aikos Handydaten hatte. Laut den Nachrichten könnte er Aiko aber wesentlich länger mit der App überwacht haben, bereits ab Anfang 2023.

Für Stalking mit Spionage-Apps gibt es bis zu fünf Jahre Haft

Als mSpy vor mehr als 15 Jahren auf den Markt kam, wurde die App noch offen als Instrument für Partnerschaftsgewalt vermarktet. Später stellte das Unternehmen seine Marketing-Botschaften um.

mSpy ist laut eigenen Angaben inzwischen eine App für Eltern, die damit die Geräte ihrer Kinder überwachen – das kann in Deutschland unter Umständen legal sein, auch ohne Zustimmung. Wer hingegen andere Erwachsene heimlich überwacht, handelt eindeutig strafbar: Ausspähen von Daten, womöglich Nachstellung, Verletzung der Vertraulichkeit des Wortes oder des höchstpersönlichen Lebensbereichs durch Bildaufnahmen. Dafür können mehrere Jahre Haft drohen.

Wer ein Spionage-Tool einsetzt, begeht zudem einen besonders schweren Fall von Nachstellung, strafbewehrt mit mindestens drei Monaten und bis zu fünf Jahre Haft. Verschärfend wirkt ebenfalls, wenn die Nachstellung über einen Zeitraum von mehr als sechs Monaten abläuft oder das Opfer gesundheitlich beeinträchtigt wird. Beides trifft im Fall von Aiko zu.

Der Mensch, der von Toms Account dem mSpy-Kundendienst schreibt, gibt an, mit der App seinen Sohn überwachen zu wollen. Tom hat keine Kinder. Frühere Recherchen zeigten: Andere Anwender*innen von mSpy gaben offen zu, dass sie Partner- oder Ex-Partner*innen ausspionieren wollten. Der Kundendienst half ihnen trotzdem weiter.

Kundenservice gibt Tipps für Straftaten

Keine Kraft mehr, sich zu wehren

Auch 2023, da sind Aiko und Tom bald ein Jahr getrennt, taucht Tom laut Aiko immer wieder vor ihrer Wohnung auf und begegnet ihr auch anderswo. „Wenn ich raus bin, hat er mich abgefangen“, sagt Aiko. Sie fährt zu einer Hochzeit, er sitzt im gleichen Zug. Sie will ins Kino, er steht davor. Das geht aus einer eidesstattlichen Versicherung von Aiko hervor, auf deren Basis ein Gericht später ein Kontaktverbot für Tom verhängt.

Aiko zieht sich in dieser Zeit von Familie und Freund*innen zurück. Sie reagiert monatelang nicht auf Nachrichten und Anrufe, berichten ihre Freund*innen. „Ich hatte Angst vor dem Handy“, sagt Aiko. Eine enge Freundin fährt aus Sorge zu Aikos Wohnung.

Die Freundin ist Ärztin in einer psychiatrischen Fachklinik. In einer Stellungnahme schreibt sie, Aiko habe ihr geöffnet und gesagt, Tom sei da und würde gegen ihren Willen bei ihr wohnen, sie habe keine Kraft mehr, sich zu wehren. Aiko bestätigt die Darstellung gegenüber netzpolitik.org.

Aiko und die Freundin sollen Tom gebeten haben, zu gehen. Dieser soll erwidert haben, Aiko wolle doch gar nicht, dass er gehe, er liebe sie, außerdem müsse er noch Wäsche waschen. Die Freundin soll ihn schließlich dazu gebracht haben, die Waschmaschine auszuräumen und die Wohnung zu verlassen.

Insgesamt elf Mal sucht Aiko eine Opfer- und Traumaambulanz auf, während Tom sie stalkt. Diagnose: posttraumatische Belastungsstörung, depressive Episode, panikartige Angstzustände, emotionale Labilität, Einschlafstörungen und wiederkehrende Albträume, Schamgefühle, reduziertes Selbstwertgefühl, sozialer Rückzug, Auflösungswünsche.

„Ein spontaner Rückgang ihrer hohen Symptombelastung ist unter der gegenwärtigen Hochstresssituation nicht zu erwarten“, so die Hilfseinrichtung. Aiko meldet sich immer wieder auf der Arbeit krank.

Er verfolgt sie bis nach China

Ende 2023: Aiko bucht einen Flug nach Shanghai, in die größte Stadt Chinas. Sie sagt, sie habe möglichst weit weg gewollt. Als sie ins Flugzeug steigen will, steht Tom mit ihr in der Boarding-Schlange.

„Ich dachte, das kann doch nicht sein“, sagt Aiko. Sie zweifelt an ihrer Wahrnehmung, kann sich nicht erklären, wie Tom sie gefunden hat. „Dass es so etwas wie mSpy gibt, wusste ich nicht“, sagt Aiko. Sie fügt sich. „Ich dachte, am besten lasse ich es über mich ergehen. Alles ist besser als wieder Polizei und eskalieren und ich verpasse meinen Flug.“

Aiko fasst die Reise so zusammen: Nach der Landung soll Tom mit ihr ins Hotel-Shuttle gestiegen sein, sich ein Zimmer in ihrer Unterkunft genommen haben. Um ihm zu entkommen, sei sie mit dem Taxi zurück zum Flughafen gefahren. Auch dort sei er aufgetaucht. Sie sei noch zwei Mal in neue Hotels geflüchtet, er habe sie jedes Mal gefunden. Er soll geweint haben und gesagt, er habe alle Hotels nach ihr abgesucht.

Irgendwann platzt Aiko der Kragen. „Ich habe gesagt, dass er sich verpissen soll. Ihn gefragt, ob er nicht checkt, dass ich hier bin, weil ich vor ihm fliehen will.“ Tom habe China nach rund 14 Tagen verlassen, Aiko bleibt eine weitere Woche.

Aiko sagt, dass Tom kurz nach Weihnachten bei ihren Eltern vor der Tür stand. „Ich habe hier auf dich gewartet“, soll er gesagt haben. Als sie zurück zu ihrem Wohnort fährt, soll er wieder im gleichen Zug mit ihr gesessen haben.

Die Überwachungs-Industrie

Fachleute aus Beratungsstellen, Forschung und Politik bezeichnen die Überwachung mit Spionage-Apps als digitale Gewalt, weil sie mit elektronischen Mitteln tief in die Selbstbestimmung eingreift. Programme wie mSpy nennen sie Stalkerware: Software für Stalking.

mSpy ist dabei nur eines der Produkte auf diesem Markt. IT-Sicherheitsforscher*innen sprechen von einer ganzen Industrie. Neben Spionage-Apps zählen auch GPS-Tracker oder Ortungs-Tags zu den Werkzeugen, auf die Täter*innen zugreifen.

Besonders häufig kommen Spionage-Apps in Partnerschaften und Familien zum Einsatz. Denn um sie zu installieren, brauchen die Täter*innen in der Regel einige Minuten ungestörten physischen Zugang zum Zieltelefon und den Entsperrcode des Geräts. Je näher sie einer Person stehen, desto eher haben sie beides.

Hinter mSpy steckt ein schwer zugängliches Firmengeflecht, beworben wird die Spionage-App über ein Netz von Unternehmen, die daran mitverdienen. Der Abo-Preis hängt von Buchungsdauer, Rabatten und gewünschtem Funktionsumfang ab und kann schnell 100 Euro pro Jahr übersteigen.

„Ich dachte, ich komme da nie wieder raus“

Immer wieder ruft Aiko in den Jahren, in denen Tom sie verfolgt, die Polizei zu Hilfe, zeigt Tom an. Anfang 2024 wird ein Verfahren wegen Nachstellung eingestellt. Es sei nicht „mit hinreichender Wahrscheinlichkeit nachzuweisen“, dass Aiko den Kontakt nicht gewollt habe, schreibt die Staatsanwaltschaft. Tom soll der Polizei gesagt haben, sie seien noch zusammen und Bilder gezeigt haben, auf denen er mit Aiko zu sehen war. Aiko sagt: „Ich dachte, ich komme da nie wieder raus.“

Im März 2024 schreibt jemand von Toms E-Mail-Adresse aus mehrfach an den mSpy-Kundendienst, weil bestimmte Funktionen der App ausfallen. Als der Kontakt zu Aikos Telefon für eine Weile scheinbar ganz verloren geht, fragt die Person: „can someone please help“, zig Nachrichten später: „I have to know what’s going on“.

Am 28. April um 11:08 Uhr wird die Spionage-App auf Aikos Telefon neu installiert. Wenige Minuten zuvor fragt jemand von Toms E-Mail-Adresse aus den Kundendienst, wie man mSpy installiert und bekommt eine Anleitung zugesendet. Die Nachrichten an den Kundendienst werden laut Chatprotokoll aus der Stadt verschickt, in der Aiko wohnt.

Am Tag davor klingelt Tom bei Aiko. Sie sagt, er habe geweint und gesagt, er habe keinen Schlafplatz und kein Geld und wolle nur eine Nacht bleiben. Aiko lässt ihn entgegen ihrer Vorsätze wieder in die Wohnung. Heute vermutet sie, dass er ihr Entsperrmuster kannte und mSpy installierte, während sie gerade nicht im Raum war.

Was an diesem Tag mit Aikos Telefon geschah, hinterließ Spuren auf dem Gerät. Aus einer forensischen Analyse, die netzpolitik.org bei einem unabhängigen IT-Sicherheits-Experten in Auftrag gab, geht hervor, wie sich das Geschehen vermutlich zugetragen hat: Tom installiert die App und deaktiviert dafür Sicherheitsfunktionen auf dem Handy, tippt einen Registrierungscode ein und schickt dann mit Aikos Handy eine WhatsApp-Nachricht an seine eigene Nummer:

Test Oh Keykoffer funktioniert bitte funktionieren.

K und L, sowie F und G liegen auf der Tastatur nebeneinander, vermutlich wollte Tom in Eile „Keylogger“ tippen. Ein Keylogger erfasst alle Anschläge auf der Tastatur und damit auch Passwörter, Nachrichten und Suchbegriffe, mSpy bietet diese Funktion.

Ein deutlicher Anstieg der Fälle

Wie viele Menschen andere mit Spionage-Apps ausspionieren, weiß niemand. Das Bundeskriminalamt erfasst entsprechende Anzeigen nicht gesondert. Sie fallen in die Rubrik digitale Gewalt, zusammen mit Videoaufnahmen in Umkleiden und sexualisierten Deepfakes beispielsweise. 2023 wurden laut Bundeskriminalamt 17.193 Fälle von digitaler Gewalt gegen Mädchen und Frauen von der Polizei bearbeitet.

Vor wenigen Tagen veröffentlichte das BKA eine Dunkelfeldstudie, für die Menschen zu ihren Gewalterfahrungen befragt wurden. Etwa jede 45. der befragten Frauen gab an, innerhalb der vergangenen fünf Jahre von einem Partner oder Ex-Partner gestalkt worden zu sein. Eine von hundert sagte, dass dies auch mit digitalen Mitteln geschah. Weniger als jede zehnte Frau zeigte die Taten an.

Von einem deutlichen Anstieg der Fälle von digitalem Stalking berichten Fachberatungsstellen für digitale Gewalt und der Bundesverband Frauenberatungsstellen und Frauennotrufe. Cordelia Moore, die lange in einer Frauenberatungsstelle zu digitaler Gewalt gearbeitet hat und heute Organisationen zum Thema berät, sagt: „In Stalkingfällen ist Cyberstalking inzwischen keine Ausnahme, sondern der Standard.“

Die Bundesregierung will den Anbietern von Spionage-Apps vorschreiben, regelmäßig das Einverständnis der Geräte-Besitzer*innen einzuholen, so steht es im Koalitionsvertrag. Eine heimliche Überwachung wie im Fall von Aikos Telefon wäre damit nicht mehr möglich – zumindest wenn sich die App-Anbieter daran halten.

Das Justizministerium des Bundes schreibt auf Anfrage, die Umsetzung werde gerade geprüft, man stehe dazu mit dem Innen- und dem Digitalministerium in Kontakt. Allerdings sitzen die Anbieter der App nicht in Deutschland, womöglich nicht einmal in der EU. Es ist unklar, welche Auswirkungen ein deutscher Alleingang hätte.

„Viel zu wenige wissen, dass es solche Tools gibt“

„Von Panikattacken gequält“

33 Fälle von verbotener Nachstellung gibt Aiko von Mai bis Dezember 2024 bei der Polizei zu Protokoll. Tom steht immer wieder vor ihrem Haus, fängt sie vor dem Kino und am Bahnhof ab, sitzt im gleichen Zug mit ihr, hält sie fest und will mit ihr sprechen. Er ruft mit unterdrückter Nummer immer wieder an, schickt ihr WhatsApp-Nachrichten.

Wieder bricht Aiko den Kontakt zu Freund*innen ab. Die Freundin, die im vergangenen Jahr Tom aus Aikos Wohnung verjagte, gibt sie nicht auf und fährt wieder zu ihr. In ihrer Stellungnahme heißt es:

Ich fand sie in ihrer Wohnung auf dem Sofa liegend vor, die Wohnung war vollständig abgedunkelt, (Aiko) war in einem verwahrlosten Zustand, von Panikattacken gequält und konnte zunächst kaum berichten, was sich in der letzten Zeit zugetragen hatte. Sie hatte mehrere Tage nichts gegessen, aus Angst, die Wohnung zu verlassen.

Mehr als ein Jahr später wird Tom für diese Taten von der Staatsanwaltschaft wegen Nachstellung angeklagt. Er wird ein umfassendes Geständnis ablegen, eine Richterin wird ihn zu mehr als einem Jahr Gefängnis ohne Bewährung verurteilen. Dieses Urteil ist noch nicht rechtskräftig.

„Stalking ist eine Machtdemonstration“

Michaela Burkard vom Bundesverband Frauenberatungsstellen und Frauennotrufe sagt: „Stalking ist eine Machtdemonstration, die der betroffenen Person signalisiert, dass sie sich nicht entziehen kann.“ Mit Hilfe von digitalen Werkzeugen, die den Standort übermitteln, sei eine derartige Machtdemonstration noch einfacher geworden.

„Kontrolle und Stalking treten vor allem dann auf, wenn der gewaltausübende, meist männliche Part einen Machtverlust verhindern will“, sagt Burkard. Eingebettet sei das Stalking in eine patriarchale Gesellschaft, in der Macht in heterosexuellen Beziehungen oft ungleich verteilt ist.

Typisch an dem Fall von Aiko, sagt Burkard, sei das Ineinandergreifen von analogem und digitalem Stalking. „Digitale geschlechtsspezifische Gewalt ist eine Fortsetzung bereits bestehender Gewaltverhältnisse, sie taucht selten isoliert auf“, sagt sie.

Am 10. Juni 2024 erlässt das Amtsgericht ihres Wohnortes auf Aikos Betreiben eine einstweilige Anordnung gegen Tom. Sechs Monate lang muss er mindestens 50 Meter Abstand von ihrer Wohnung halten, darf auch ihren Arbeitsplatz und die Wohnung der Eltern nicht aufsuchen oder anderweitig, beispielsweise per Anruf, Sprach- oder Textnachricht, Kontakt mit ihr aufnehmen. Bei Zufallstreffen hat er sich sofort zu entfernen. Die Anordnung wird später immer weiter verlängert werden. Die Dokumente dazu liegen netzpolitik.org vor.

Obwohl es Tom nun verboten ist, sich Aiko zu nähern, fängt er sie über den darauf folgenden Sommer vier Mal in Seitenstraßen ihrer Wohnung ab. Er rennt auf sie zu und hält sie fest. Er schreibt unzählige Nachrichten und versucht dutzende Male, sie anzurufen.

Das Amtsgericht ihres Wohnortes verurteilt Tom Ende September zu 800 Euro Ordnungsgeld. Er hört dennoch nicht auf. Im Oktober fordert das Gericht weitere 400 Euro. Wieder lässt er sich nicht davon beeindrucken. Tom wird vorläufig festgenommen. Als er wieder frei ist, schreibt er Aiko: „gib mir nur ein Zeichen, sonst muss ich wiederkommen“.

Die Spionage-App wird enttarnt

Dass die Spionage-App auf Aikos Smartphone entdeckt wird, ist nicht den Ermittlungen der Polizei zu verdanken. Von den Beamt*innen, mit denen Aiko sprach, sei keine*r auf die Idee gekommen, dass Tom Aikos Smartphone verwanzt haben könnte, dass Toms ständige Präsenz dort ihren Ursprung hat, sagt Aiko.

Am Ende ist es nicht die Polizei, sondern ein Freund, der ihr Klarheit bringt. „Als Aiko mir von dem Stalking erzählte, hatte ich schon eine Ahnung, wie das kommen könnte, dass Tom immer weiß, wo sie ist“, sagt Benjamin. Er ist Dozent für Informatik und weiß, dass es frei erhältliche Spionage-Software gibt.

Im November 2024 besucht er Aiko und untersucht ihr Telefon. Da ist mSpy noch aktiv. Nach wenigen Minuten findet er in der App-Übersicht ein Programm mit weitreichenden Berechtigungen. Es taucht auf dem Home-Bildschirm nicht auf und verbirgt sich hinter dem unscheinbaren Namen „Update service“. Aiko sagt, ihr sei diese App nicht bekannt gewesen. Die forensische Analyse, die der unabhängige IT-Sicherheitsexperte für netzpolitik.org durchführte, bestätigt, dass es sich dabei um mSpy handelt.

Vom Partner verwanzt

So hat die App sie ausspioniert

Im Download-Ordner von Aikos Handy liegt eine Installationsdatei für die Spionage-App. Sie wurde eine Minute vor der Installation der App „Update service“ heruntergeladen. Außerdem findet sich auf dem Telefon eine Datenbank, in die mSpy Informationen kopierte: Standortdaten, Browserverlauf, Kalender, Anruflisten, Fotos und Videos, SMS und E-Mails, Chats auf verschiedenen Plattformen sowie Mitschnitte der Tastatureingaben. Auch die Testnachricht, die während der Installation an Toms Nummer verschickt wurde, findet sich in den Daten. mSpy sendet derartige Informationen in eine Cloud, wo Kund*innen sie einsehen können – übersichtlich aufbereitet über ein Browser-Tool.

Die App habe fast alle Berechtigungen gehabt, sagt Benjamin, also nicht nur auf alle Telefoninhalte zugreifen können, sondern auch Dateien und Apps aus der Ferne löschen und installieren dürfen. Er kann dies mit Screenshots belegen. Sie zeigen auch, dass die App in den 24 Stunden vor dem Novemberabend, an dem Benjamin die App entdeckt, auf verschiedene Daten zugegriffen hatte, etwa auf den Standort, Anrufliste, Fotos und Videos, Kalender, Kontakte oder SMS.

Um den Datenabfluss zu unterbrechen, habe er die Berechtigungen noch in derselben Nacht aufgehoben, sagt Benjamin. Über viele Monate hatte Tom Zugang zu den Informationen, die mSpy über dieses Gerät erfasste, konnte sehen, wo Aiko sich befand. Jetzt ist es vorbei. Einen Monat später kauft Aiko sich ein neues Telefon.

Der Moment der Erkenntnis

Zu erfahren, dass Tom sie ausgespäht hatte, war „super erschütternd“, sagt Aiko. „Er wusste meine intimsten Gedanken, er wusste immer genau, wo ich war. Und er hat die ganze Zeit meine Realität manipuliert. Ich habe ja geglaubt, dass er überall auf mich wartet.“

Noch aus einem anderen Grund war die Erkenntnis für sie ein Schock. Kurz zuvor hatte Aiko beschlossen, die Stadt zu verlassen und nach Berlin zu ziehen, um Tom zu entkommen. Sie sagt, sie wollte ohne Angst auf die Straße gehen, normal leben. „Als ich verstanden habe, dass er all meine Kommunikation abgegriffen hat, ist mir auch klar geworden, dass er vermutlich weiß, wo ich hinziehe“, sagt sie.

In den Daten, die mSpy mitschnitt, findet sich eine E-Mail mit der Einladung zur Wohnungsbesichtigung. Dort liegen auch die Koordinaten ihrer neuen Wohnung, abgegriffen, als Aiko die Wohnung besichtigte.

Nachdem Benjamin die App gefunden hat, gehen er und Aiko noch in der gleichen Nacht zur Polizei. Die beiden sagen, auf der Wache habe Benjamin versucht, den Beamten die Spionage-App zu erklären, zunächst ohne Erfolg. Erst als Aiko ein Foto herumgezeigt habe, das ihr Vermieter von Tom gemacht hatte, habe ein Polizist gesagt: „Das sieht nach nem Hacker aus.“ Auf dem Foto steht Tom mit aufgeklapptem Laptop unter Aikos Fenster.

Michaela Burkard vom Bundesverband Frauenberatungsstellen und Frauennotrufe sagt: „Wichtig ist, dass alle Instanzen, die mit einer gewaltbetroffenen Person zu tun haben, Fachwissen und die nötige Sensibilität für digitale Gewalt haben.“ So sollte etwa die Polizei im Rahmen einer Risikoeinschätzung bei Partnerschaftsgewalt immer auch digitale Gewalt abfragen.

Das fehlt beim Schutz vor digitaler Gewalt

Die Polizei findet ihn in einem Gebüsch

Februar 2025. Vier Jahre ist es her, dass sich Aiko und Tom auf Bumble getroffen haben. Das Amtsgericht verhängt weitere 3.000 Euro Ordnungsgeld gegen Tom. Die vorhergehenden 1.200 Euro hat er noch nicht gezahlt. Vor Gericht gibt er später an, weitgehend mittellos zu sein.

Ende Februar zieht Aiko nach Berlin. Ungefähr zur gleichen Zeit zieht auch Tom dorthin. Er hat nun keinen Fernzugriff mehr auf ihr Telefon, trotzdem lauert er ihr immer wieder vor ihrem Wohnblock auf, in dessen Umgebung, an der S-Bahn. Einmal finden Polizist*innen, die zu ihrer Sicherheit vor Aikos Haus patrouillieren, Tom in einem Gebüsch. Die Szene beschreibt das Amtsgericht Tiergarten in einem Urteil, das später gegen Tom fällt.

Das Amtsgericht in Berlin-Tiergarten erwirkt einen Haftbefehl gegen Tom. Von Mai bis Juni sitzt er 27 Nächte in Untersuchungshaft. Er wird nur unter der Auflage entlassen, Berlin zu verlassen und sich Aiko nicht mehr zu nähern. Und doch steht er kurz darauf wieder vor ihrer Haustür. Es ist die eingangs geschilderte Szene. Aiko ruft die Polizei und Tom landet noch einmal für fast zwei Monate in Untersuchungshaft.

Am 24. September 2025 verurteilt das Amtsgericht Tiergarten Tom wegen Nachstellung zu sechs Monaten Haft auf Bewährung. Er gesteht die Vorwürfe, will das Urteil aber nicht akzeptieren und geht in Berufung. Das Verfahren läuft.

Das Ende?

Ende Januar 2026 steht Tom noch einmal vor Gericht, diesmal in der Stadt, in der er und Aiko zuvor gewohnt haben. Es geht um die Geschehnisse, die vor ihrem Umzug stattfanden. Und anders als in Berlin geht es diesmal auch um mSpy: In ihrer Anklageschrift wegen Nachstellung erwähnt die Staatsanwaltschaft auch eine Software, die Tom auf Aikos Handy installiert habe, um ihren Standort zu verfolgen und „gezielte Zusammenkünfte herbeizuführen“.

Während ihrer Aussage kommen Aiko immer wieder die Tränen. Sie spricht dennoch weiter.

Tom gesteht alle Vorwürfe. Er bekommt ein Jahr und vier Monate Haft, keine Bewährung. In ihrem Urteil spricht die Richterin von einer „sehr hohen kriminellen Energie“. Sie erwähnt die Spionage-Software, die Nachrichten an den Kundendienst. „Die Skrupellosigkeit, die Sie da an den Tag gelegt haben, das ist besonders und zeigt eine besondere Rücksichtslosigkeit.“

Das Urteil ist noch nicht rechtskräftig. Tom sagte bei einem Telefonat mit netzpolitik.org, dass er Berufung einlegen will. Aiko sagt, für sie sei es wichtig gewesen, dass ihre Realität anerkannt wurde. Befreit fühle sie sich aber nicht, sondern vor allem: erschöpft.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Großkonzern Palantir geht presserechtlich gegen das Schweizer Magazin „Republik“ vor. Das hatte in Recherchen nachgezeichnet, warum die Systeme des Unternehmens problematisch für Staaten und deren Souveränität sind. Das Magazin will sich von der Klage nicht einschüchtern lassen.

Der Überwachungskonzern Palantir verklagt das Republik Magazin wegen dessen Berichterstattung und verlangt eine Gegendarstellung. Das gab heute die Journalistin Adrienne Fichter in sozialen Medien bekannt, ein Sprecher von Palantir bestätigte den Vorgang gegenüber netzpolitik.org.

Im Dezember hatte das Magazin berichtet, wie Palantir versuchte, in der Schweiz Fuß zu fassen – und wie das Schweizer Militär eine Zusammenarbeit ablehnte, weil es unter anderem zum Schluss kam, dass ein Abfluss von Daten aus den Palantir-Systemen technisch nicht verhindert werden könne.

Wenige andere Medien haben in letzter Zeit so viel und so detailliert über Palantir berichtet wie das kleine leser:innenfinanzierte Schweizer Magazin mit seinen 30.000 Abonnent:innen. Palantir hingegen ist ein milliardenschwerer Überwachungs- und Datenkonzern, dessen Software zahlreiche Polizeibehörden, Militärs und Geheimdienste weltweit verwenden. Auch in Deutschland arbeiten Polizeien mit dem Unternehmen zusammen. Obwohl der Einsatz der Software von Palantir höchst umstritten ist, schaffen hierzulande neue Polizeigesetze gerade die rechtliche Grundlage für den ausgeweiteten Einsatz derartiger Software.

Das Unternehmen Palantir gehört unter anderem dem rechtsgerichteten Oligarchen Peter Thiel, der aus seiner Verachtung für die Demokratie kein Geheimnis macht. Die Systeme des Konzerns helfen Trumps Polizeitruppe ICE bei ihren Abschiebe-Einsätzen und dem israelischen Militär bei dessen Kriegen. Palantir wird dem „Authoritarian Stack“ zugerechnet, also privatwirtschaftliche Unternehmen, die zunehmend in staatliche Kontroll- und Überwachungssysteme eingreifen und diese übernehmen.

Schweizer Militär warnte vor Sicherheitsrisiken

Offenbar macht investigativer Journalismus den Überwachungsriesen nervös: Im Dezember hatte Republik eine zweiteilige Recherche veröffentlicht, in der das Medium nachzeichnete, wie der Überwachungskonzern um unterschiedliche Schweizer Behörden geworben hatte. Grundlage der Recherche waren Dokumente, die das Rechercheteam durch Informationsfreiheitsanfragen erhalten hatte. Trotz sieben Jahren Klinkenputzen gelang es Palantir demnach nicht, einen Vertrag mit Schweizer Institutionen und Behörden abzuschließen.

Die Republik fand dabei etwa heraus, dass der Generalstab der Schweizer Armee die Software evaluiert hatte und zu dem Schluss gekommen war, dass die Armee auf den Einsatz von Palantir-Produkten verzichten sollte. Die Militärexperten fürchteten, dass ein Abfluss von Daten aus den Palantir-Systemen hin zu US-amerikanischen Geheimdiensten wie CIA und NSA technisch nicht verhindert werden könne.

Die Recherche fand international Widerhall, auch der Guardian berichtete. Britische Abgeordnete verwiesen auf die Schweizer Einschätzung. „Ich denke, die Schweizer Armee hat das Recht, misstrauisch zu sein“, sagte etwa der Labour-Abgeordnete Clive Lewis.

Weltpolitik vor dem Handelsgericht

Gegen diese Berichterstattung hatte Palantir laut der verantwortlichen Tech-Reporterin Adrienne Fichter in der Weihnachtszeit einen Blogbeitrag bei LinkedIn in Stellung gebracht, in dem der Palantir-Manager Courtney Bowman der Republik unter anderem Verzerrungen, Andeutungen und grenzwertige Verschwörungstheorien vorwarf. Am 29. Dezember verlangte Palantir Fichter zufolge dann per Anwaltsschreiben eine Gegendarstellung in der Republik. Das lehnte das Magazin nach eigener Aussage ab. Im Januar wiederholte der Konzern demnach seine Forderung. Die Republik lehnte wieder ab. Nun zieht Palantir also vor das Handelsgericht in Zürich um eine Gegendarstellung durchzusetzen.

Adrienne Fichter schreibt, dass der Krieg, den die autoritäre Tech-Oligarchie gegen die Medien führe, mit der Klage eine neue Stufe erreicht habe. Palantir wolle nicht, dass die Republik die Wahrheit schreibe. Die Berichterstattung mache das Unternehmen nervös. „Selbstverständlich haben wir uns stets an die hohen Standards journalistischer Arbeit gehalten. Vor der Veröffentlichung haben wir eine gründliche Faktenprüfung durchgeführt“, so Fichter weiter. Die Recherchen in Bezug auf die Schweiz und Zürich basierten neben den eigenen Erkenntnissen zudem auf der Berichterstattung renommierter Medien.

Laut Fichter hat die Republik eine „umfassende Verteidigungsschrift“ eingereicht. „Alle unsere Feststellungen können wir mit verschiedenen Dokumenten und öffentlich zugänglichen Medienberichten belegen.“ In Zürich werde nun vor dem Gericht bald Weltpolitik verhandelt, so Fichter weiter. Für sie ist klar: „Wir lassen uns nicht einschüchtern.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Schon vor mehr als 50 Jahren gab es Streit darüber, ob Behörden Daten über Menschen sammeln sollen, die als psychisch krank gelten. Doch während sich damals ein Konsens für mehr Teilhabe und gegen Stigmatisierung bildete, hat sich heute etwas verändert.

In einem Scheidungsverfahren streiten sich zwei Ehepartner um das Sorgerecht für die gemeinsamen Kinder. Die Frau sagt, ihr Mann sei psychisch krank und meldet das ans Gesundheitsamt. Das spricht mit dem Mann und attestiert ihm „psychotisches Verhalten mit paranoider Symptomatik“. Als später gemeinsame Bekannte des bisherigen Ehepaars anonyme Briefe erhalten, verdächtigen sie den Mann und zeigen ihn bei der Polizei an. Im Hintergrund erkundigt sich die Staatsanwaltschaft beim Gesundheitsamt über ihn und kommt zum Ergebnis, dass der Angezeigte wohl schuldunfähig sei. Die Staatsanwaltschaft stellt das Verfahren ein. Das meldet sie an das Bundeszentralregister – eine Datei, die vor allem Informationen über strafrechtliche Verurteilungen, aber auch zu Verfahrenseinstellungen wegen Schuldunfähigkeit enthält. Von all dem bekommt der Mann nichts mit.

Als er, der ausländischer Staatsbürger ist, später in Deutschland eine berufliche Zulassung als Arzt beantragt, wird diese abgelehnt. Weil er psychisch krank sei.

Das ist kein theoretisches Szenario, sondern die Geschichte eines Menschen, der im Jahr 1987 Probleme bekam, weil Daten zu einer angeblichen psychischen Erkrankung in einer staatlichen Datensammlung gespeichert waren. Der Fall zeigt eindrücklich, welche Probleme derartige Eintragungen in Register schon vor fast 40 Jahren verursacht haben. Und er lehrt uns, dass es bereits seit vielen Jahren politische und gesellschaftliche Auseinandersetzungen über die behördliche Erfassung von Menschen gibt, die als psychisch erkrankt gelten. Die Diskussion reicht weit zurück bis in die 1970er-Jahre. Doch der Blick in die Vergangenheit zeigt uns, was damals anders war, und wirft die Frage auf, warum wir heute die Lehren aus dieser Geschichte vergessen zu haben scheinen.

An Fahrt gewann die gegenwärtige Diskussion mit der Forderung von CDU-Generalsekretär Carsten Linnemann vor etwa einem Jahr, im Dezember 2024. „Ich meine, wir haben große Raster angelegt für Rechtsextremisten, für Islamisten, aber offenkundig nicht für psychisch kranke Gewalttäter“, sagte Linnemann im Interview mit dem Deutschlandfunk. „Es reicht nicht aus, Register anzulegen für Rechtsextremisten und Islamisten, sondern in Zukunft sollte das auch für psychisch Kranke gelten.“

Auf der Suche nach einer Erklärung

Linnemanns Forderung nach einer staatlichen Datensammlung vorausgegangen war ein Anschlag auf den Magdeburger Weihnachtsmarkt, bei dem sechs Menschen starben und mehr als 300 weitere verletzt wurden. Der Täter in Magdeburg war nicht die einzige Person, die in jüngster Vergangenheit Gewalttaten verübt hat und bei der schnell über eine psychische Erkrankung spekuliert und berichtet wurde. Die Taten sind uns unter den Namen der Orte bekannt, an denen sie passierten: Magdeburg, Mannheim, Aschaffenburg, Hamburg sind vier davon.

Im Anschluss suchten viele nach Erklärungen und nach Wegen, solche schrecklichen Ereignisse zu verhindern. Linnemann und andere aber richteten erheblichen Schaden an, indem sie psychische Erkrankungen und Gewalt in einen bis zur Unkenntlichkeit entstellten Zusammenhang setzten. Denn klar ist: Erfasst hätte den Täter Taleb A. ein Register für Gewalttäter mit psychischen Erkrankungen nicht. Denn obwohl sich schnell nach der Tat wegen seiner Äußerungen auf Social-Media-Plattformen und zahlreichen Kontaktversuchen zu verschiedenen Behörden Mutmaßungen zu seiner psychischen Verfassung verbreiteten: Eine psychiatrische Diagnose lag bei A., der selbst als Psychiater gearbeitet hatte, offenbar nicht vor. Bei verschiedenen Behörden war er dennoch aufgefallen, es hatte Gefährderansprachen gegeben, A. war wegen der Androhung von Straftaten verurteilt worden. Im „Raster“, wie Linnemann es nannte, war A. also offenbar längst gewesen. Verhindern konnte das seine Tat damals nicht.

Die ursprünglich von Linnemann verbreitete Registeridee schien nach einem Aufschrei von Psychiatrieerfahrenen und medizinischen Fachleuten aber zunächst vom Tisch. Fast wie bei der vorangegangenen Registerdiskussion aus dem Jahr 2018 in Bayern, als die CSU-Landesregierung das dortige Psychisch-Kranken-Hilfe-Gesetz reformierte. Ursprünglich sollte in diesem Zug eine sogenannte Unterbringungsdatei eingeführt werden.

„Wir sind da komplett an die Decke gegangen“, erzählt Brigitte Richter heute im Rückblick. „Die wollten ein Register einführen, in dem Zwangseinweisungen eingetragen sind, auf die Behörden wie die Polizei dann fünf Jahre lang hätten zugreifen können.“ Als Ziel dieser Zwangseinweisungen schrieb die Landesregierung ins Gesetz: „Ziel der Unterbringung ist die Gefahrenabwehr.“ Erst danach, als „weiteres Ziel“, stand die Besserung des Zustandes der Eingewiesenen.

„Die Grundidee ist noch nicht überwunden“

Richter, die heute 76 Jahre alt ist, hat selbst seit mehr als einem halben Jahrhundert Psychiatrieerfahrungen gemacht. Seit vielen Jahren engagiert sie sich unter anderem im Verein Pandora für die Selbsthilfe von Menschen mit psychischen Problemen und seelischen Belastungen. Sie stellt sich hartnäckig Missständen entgegen. „Druck erzeugt Gegendruck“, nennt Richter das. Bei der Reform des bayerischen Psychisch-Kranken-Hilfe-Gesetzes vor acht Jahren hat das nach vielfältigen Protesten offenbar geklappt. Die Paragrafen zur „Unterbringungsdatei“ wurden aus dem Entwurf gestrichen. „Man muss deutlich sein und protestieren, aber konstruktiv bleiben“, rät Richter und fügt lachend hinzu: „Das nennt man dann, glaube ich, Diplomatie.“

Auch heute scheint die Forderung nach einem Register wieder vom Tisch – zumindest das Wort taucht in der öffentlichen Debatte nur noch selten auf. Doch etwas ist anders als damals in Bayern. „Es ist gut, dass niemand mehr von Registern spricht“, sagt Dr. Kirsten Kappert-Gonther. Die Fachärztin für Psychiatrie und Psychotherapie ist seit 2017 Bundestagsabgeordnete für die Grünen und deren Obfrau im Gesundheitsausschuss. Man habe eine Sensibilität dafür entwickelt, dass Register etwas Schädliches wären. „Aber die Grundidee hinter den Registern“, schränkt Kappert-Gonther den Optimismus ein, „die ist leider noch nicht überwunden“.

Während Politiker:innen also mittlerweile den Register-Begriff meiden, suchen sie nach anderen Wegen, um Daten über psychisch erkrankte Menschen für Behörden zugänglich zu machen. Die Konferenz der Gesundheitsminister:innen hat im vergangenen Sommer beschlossen, dass rechtliche Rahmenbedingungen sowie erforderliche Anpassungen und Verantwortlichkeiten geprüft werden sollen, etwa um Gesundheitsdaten und Erkenntnisse der Gefahrenabwehrbehörden auszutauschen. Auch die Innenministerkonferenz berät zu dem Thema, das Schlagwort dafür heißt „integriertes Risikomanagement“. Dabei gehe es darum, „dass den Sicherheitsbehörden die für sie relevanten Informationen der Gesundheitsbehörden“ zugänglich gemacht werden, heißt es in einem Beschluss aus dem Juni 2025. Es müsse bei relevanten Hinweisen eine „gemeinsame Risikobewertung“ erfolgen.

Länder, die Tatsachen schaffen

Während eine Bund-Länder-Arbeitsgruppe „Früherkennung und Bedrohungsmanagement“ weiter an dem Thema arbeitet, schaffen einige Länder beim Datenaustausch bereits Tatsachen. Es lassen sich dabei zwei Grundrichtungen beobachten.

Hessen beispielsweise verabschiedete im vergangenen Dezember ein neues Psychisch-Kranken-Hilfe-Gesetz. Das verpflichtet Ärzt:innen, entlassene Patient:innen an die Polizei zu melden, wenn diese zuvor wegen befürchteter Fremdgefährdung zwangseingewiesen worden waren und sie „in absehbarer Zeit ohne ärztliche Weiterbehandlung“ wieder zu einer Gefahr werden könnten. Niedersachsen schlägt einen ähnlichen Weg ein, das entsprechende Gesetz wird bald im Landtag debattiert.

Hamburg hingegen setzt statt verpflichtender Meldung und Datenaustausch vor allem auf anlassbezogenes Handeln. Grundgedanke im Modell der Hansestadt ist, dass die Innen-, Sozial- und Justizbehörden jeweils eine Fallkonferenz einleiten können, um über mögliche Hilfen und Konsequenzen für eine Person zu beraten. Und zwar immer dann, wenn sie einen Handlungsbedarf sehen, der ihre eigenen Kompetenzen und Kapazitäten überschreitet. Eine Mitarbeitende der Hamburgischen Sozialbehörde berichtete auf einem Kongress für Psychiatrie und Psychotherapie im November 2025 davon, dass so seit Start des Systems im August 2025 über insgesamt drei Personen gesprochen worden sei.

All diese Regelungen gelten jedoch allein im einzelnen Bundesland. Daher hat Niedersachsen eine Initiative in den Bundesrat eingebracht, der die Länderkammer am 30. Januar zustimmte. „Menschen mit psychischen Erkrankungen schützen, Gefahrenpotenziale erkennen durch bundesweiten Austausch“ lautet der Titel der Entschließung. Der Bundesrat fordert darin von der Bundesregierung, „insbesondere den Austausch von Gesundheitsdaten und den Erkenntnissen der Gefahrenabwehrbehörden unter datenschutzrechtlichen Vorgaben zu prüfen“ und Gesetze anzupassen. „Erkenntnisse zwischen Sicherheits-, Gesundheits-, Waffen- und gegebenenfalls anderen relevanten Behörden“ sollen bundesweit besser vernetzt werden, „um Risikopotenziale bei Personen mit psychischen Auffälligkeiten möglichst frühzeitig zu erkennen“.

Die Entschließung ähnelt dem Tenor der Innenministerkonferenz, auch wenn für den niedersächsischen Vorstoß insbesondere das Gesundheits- und Sozialministerium des Landes zuständig war.

Neben dem Datenaustausch fordert der Bundesrat eine bessere „medizinische und rehabilitative Versorgung von Menschen mit schweren psychischen Erkrankungen“. Auch der niedersächsische Gesetzentwurf spart das Thema Hilfe nicht aus und will erreichen, dass etwa sozialpsychiatrische Dienste rund um die Uhr erreichbar sein sollen. Selbst den Namen des Gesetzes passte die Landesregierung nach einer Verbändeanhörung an: „Die Terminologie wurde – in Einklang mit vergleichbaren Gesetzen der anderen Bundesländer – zu NPsychKHG geändert. H steht für Hilfen“, heißt es in einer Pressemitteilung.

Ein Gesundheitsthema wird zum Sicherheitsproblem gemacht

Doch das kann nicht verbergen, dass es im Mittelpunkt der Entwürfe um etwas anderes geht: um „Gefahrenabwehr“. Und so wird die Frage nach psychischer Verfassung sowohl in Gesetzen als auch in der öffentlichen Wahrnehmung immer mehr von einem Gesundheits- zu einem Sicherheitsthema gemacht.

„Das ist mittlerweile eine ganz andere Diskussion als damals 2018 zu dem Gesetz in Bayern“, sagt Prof. Dr. Georg Schomerus zu den Register- und Datenspeicherungsdiskussionen der letzten Monate. Der Direktor der Klinik und Poliklinik für Psychiatrie und Psychotherapie am Universitätsklinikum Leipzig erforscht seit vielen Jahren die Einstellung in der Bevölkerung zu psychischen Erkrankungen. Eine der Ursachen für die Diskussionsverschiebung sieht er darin, dass sich „die politische Landschaft“ verändert habe. Der rechte Rand erstarke, autoritäre Werte seien wieder in Mode, Gesetzgebung und Gesellschaft formten sich gegenseitig. „Die gesellschaftliche Stimmung treibt die Gesetzgebung“, so Schomerus. „Gleichzeitig schafft die Gesetzgebung Realitäten, die dann Normalität werden und die Stimmung beeinflussen.“

Diese Entwicklung betrachtet auch die Bundestagsabgeordnete Kirsten Kappert-Gonther von den Grünen mit Sorge. Als Ärztin sei sie in Zeiten der Psychiatriereform-Bewegung sozialisiert worden, erzählt die Parlamentarierin, die sich auch als Vorsitzende des Vereins „Aktion Psychische Kranke“ engagiert. „Viele Jahre lang hat sich der Diskurs um psychische Erkrankungen langsam, aber stetig geöffnet und vermenschlicht“, sagt sie. Es sei gesellschaftlicher Konsens gewesen, so Kappert-Gonther, dass man Menschen mit schweren psychischen Erkrankungen nicht wegsperren sollte.

50 Jahre nach einem Meilenstein der Psychiatriereform

Dass sich diese Überzeugung durchsetzte, daran hatte die Psychiatrie-Enquete aus den 1970er-Jahren einen wichtigen Anteil. Sie gilt bis heute als Meilenstein der Psychiatrie-Entwicklung in der Nachkriegsgeschichte. Während die Nationalsozialisten an der Macht waren, haben sie systematisch Menschen vernichtet, die als psychisch krank galten. Sie ermordeten sie, viele kamen durch Medikamente und Hunger zu Tode. Hunderttausende wurden zwangssterilisiert. Doch nach den Verbrechen der Nazi-Zeit brauchte es noch lange, bis die Psychiatrie sich grundlegend reformierte.

„In den Chefetagen saßen dieselben Männer wie zuvor – Männer, die Teil eines menschenverachtenden Systems gewesen waren“, sagte Kappert-Gonther in einer Rede, 80 Jahre nach dem Ende des Zweiten Weltkriegs und 50 Jahre nach dem Abschlussbericht der Psychiatrie-Enquete. „Der Geist des Sozialdarwinismus lebte fort.“ Psychiater, die im Nationalsozialismus Täter waren, wurden noch im Nachkriegsdeutschland der 60er als Sachverständige in den Bundestagsausschuss für Wiedergutmachung berufen und rechtfertigen dort ihre Taten, sodass etwa Zwangssterilisierte keine Entschädigungszahlungen bekamen.

1971 setzte die Bundesregierung dann im Auftrag des Bundestages eine Sachverständigen-Kommission ein, die Psychiatrie-Enquete. Sie sollte Vorschläge für eine Reform der psychiatrischen Versorgung in Deutschland erarbeiten. Die Zustände in den Kliniken waren bis dahin vielerorts menschenunwürdig. Im Mittelpunkt standen nicht Therapieangebote, sondern Verwahrung. Patient:innen verbrachten oftmals viele Jahre von jeglicher sozialer Teilhabe ausgeschlossen in überfüllten Groß-Anstalten, einer Bettenburg gleich. Fast die Hälfte aller Patient:innen in psychiatrischen Kliniken war dort 1973 mehr als fünf Jahre in Behandlung, fast ein Drittel länger als zehn. Es fehlte an Pflege, Sozialarbeiter:innen und psychologischen Fachkräften. So sollte es nicht weitergehen.

Die Enquete-Kommission legte 1975 ihren Abschlussbericht vor. Im Mittelpunkt stand ein Wandel – von der ewigen Hospitalisierung und Aufbewahrung fernab der Mehrheitsgesellschaft hin zu einer ambulanten und gemeindenahen Versorgung. Von den geschlossenen Unterbringungen in Großanstalten zu kleinen und offenen Stationen. Körperlich und psychisch Kranke sollten gleichgestellt sein.

Datenschutz für die Psyche

Weniger bekannt, aber ebenso deutlich waren die Äußerungen derselben Enquete-Kommission zum Umgang mit Daten über psychisch erkrankte Personen. In ihrem Abschlussbericht fordern die Sachverständigen „ausreichende Sicherungen gegen eine unbefugte Verwertung personenbezogener Daten“ und schreiben: „Das Datenschutzbedürfnis des psychisch Kranken und Behinderten ist gegenüber dem somatisch Kranken differenzierter und weiterreichend.“ Das begründen sie etwa mit dem großen Personenkreis, der in die oft „langfristige Behandlung und Rehabilitation“ involviert ist. Dadurch würden viele zu „Geheimnisträgern“, aber: „Die Möglichkeit des unbegrenzten Zugriffs aller dieser ‚Geheimnisträger‘ zu allen Daten des Kranken dürfte wohl kaum zu verantworten sein.“

Die Kritik der Psychiatrie-Enquete richtet sich auch gegen Vorschriften zum Bundeszentralregister. Also gegen jene Datensammlung, die für den Mann vom Anfang dieses Textes in den 80er-Jahren zum Problem wurde.

Ursprünglich standen in diesem Bundeszentralregister noch mehr Daten als heute, die einen Hinweis auf die psychische Verfassung einer Person geben. Laut der ersten Fassung, die 1971 Gesetz wurde, waren auch Zwangsunterbringungen Teil des Registers. Ebenso sollte dort vermerkt werden, wenn „jemand auf Grund landesrechtlicher Vorschriften wegen Geisteskrankheit, Geistesschwäche, Rauschgift- oder Alkoholsucht in eine geschlossene Anstalt endgültig eingewiesen wird“. Das Bundeszentralregister wurde damals neu errichtet. Es sollte die vielen einzelnen Strafregister der Bundesrepublik zusammenführen, die zuvor über verschiedene Staatsanwaltschaften verstreut waren. Im Kapitel „Registrierung psychisch Kranker“ des Enquete-Abschlussberichts schreiben die Sachverständigen:

Um so überraschender ist es, daß das BZRG [Bundeszentralregistergesetz], bei aller Liberalität im übrigen, jedenfalls in einem wesentlichen Punkt ein zentrales Problem des Gesamtkomplexes, nämlich die Gleichstellung von psychisch Kranken mit anderen Kranken, die heute weitgehend anerkannt und in zahlreichen Gesetzen oder Gesetzentwürfen ausdrücklich verankert ist, gründlich verkannte oder doch mißachtete.

Kein Grund für einen Registereintrag

Eine solche Registrierpflicht für psychisch Kranke, die nach Landesrecht zwangsuntergebracht sind, könne nicht hingenommen werden. Sie nehmen an, dass „ein gesetzgeberischer Irrtum hinsichtlich der tatsächlichen Voraussetzungen vorliegt, die das Bedürfnis für die Registrierung begründen sollen“. Eine pauschale Registrierung brauche es nicht, denn, so schreibt die Enquete:

Die meisten Zwangseingewiesenen sind keineswegs gefährlicher als die 80 oder 90 Prozent anderer Krankenhauspatienten oder als zahllose Bürger, die in Freiheit leben.

Schon Anfang der 70er-Jahre schrieb der Psychiater und Psychiatriehistoriker Klaus Dörner, der als einer der Wegbereiter der Psychiatriebewegung gilt, zu den Protesten gegen das Bundeszentralregistergesetz von 1971, dass man „feststellen wird, daß solange keine fortschrittlich veränderten Gesetze zustandegebracht werden, so lange die zugrundeliegenden gesellschaftlichen Verhältnisse nicht fortschrittlich verändert sind.“ Und er schließt mit einem Satz, der heute, rund fünfzig Jahre später, an Gültigkeit nicht verloren hat: „Und was Fortschritt ist, ist wenigstens in diesem Fall klar.“

Wir sehen hier, dass es bereits damals eine Auseinandersetzung mit der vermeintlichen Gefährlichkeit von Personen gab, die als psychisch krank eingestuft wurden. Dass man schon damals davon ausging, dass ein einfacher Zusammenhang weder existiert noch hilfreich ist.

Mit dem Abschlussbericht der Sachverständigen der Psychiatrie-Enquete bekam diese Haltung noch mehr Gewicht. Und 1976, ein Jahr nach der Kritik im Abschlussbericht der Psychiatrie-Enquete, strich die Bundesregierung dann den Paragrafen, der Einweisungen nach Landesrecht in die Datensammlung holte – ersatzlos. Dem Arzt vom Anfang indes half das ein Jahrzehnt später nicht, denn die Schuldunfähigkeitsvermerke blieben und sind weiter ein Teil des Bundeszentralregisters.

Wie der Fall des Arztes letztlich ausgegangen ist und ob er am Ende doch noch eine Approbation bekam, lässt sich heute nicht mehr ohne weiteres rekonstruieren. Was sich aber nachvollziehen lässt, ist die Entrüstung, die auf die Veröffentlichung der Vorfälle folgte. Zahlreiche Medien, von der taz bis zur Offenbach-Post, berichteten kritisch über die Datenspeicherung, die ohne das Wissen des Betroffenen erfolgt war. Die Reaktionen zeigen, dass es zwölf Jahre nach dem Enquete-Abschlussbericht eine hohe Sensibilität gegenüber der Erfassung vermeintlich psychisch Erkrankter gab.

Nur wenige dieser Zeitzeugnisse sind digital verfügbar. Doch sie sind im Rahmen einer Präsenzbibliothek im „Berliner Archiv für Sozialpsychiatrie“ zugänglich, wo engagierte Menschen ehrenamtlich Literatur, Dokumente und Medien über die Entwicklung der Sozial- und Gemeindepsychiatrie in Deutschland sammeln und archivieren.

Der Justizminister hört zu

In dem Archiv lässt sich nachvollziehen, wie die Deutsche Gesellschaft für Soziale Psychiatrie (DGSP) sich des Themas annahm. Seit den 1970er-Jahren bis heute setzt sich die DGSP für eine personen- und bedürfniszentrierte soziale psychiatrische Versorgung ein. Sie versuchte damals herauszufinden, wie viele Personen von einer ähnlichen Speicherung betroffen sind, und wandte sich dafür an den Generalbundesanwalt, der für das Bundeszentralregister zuständig war.

Der Generalbundesanwalt teilte mit, dass im Bundeszentralregister 72.110 Personen eingetragen seien, bei denen die Staatsanwaltschaft ein Ermittlungsverfahren wegen Schuldunfähigkeit eingestellt hatte. Bei 1.901 Personen sei ein Eintrag nach einer Einstellung vor Gericht erfolgt.

Die DGSP kritisierte das und vermutete, dass für viele der Eintragungen lediglich die Einschätzung eines Gesundheitsamtes maßgeblich gewesen sei, ohne dass ein entsprechendes psychiatrisches Gutachten vorliege.

„Es ist einfach unerträglich, dass im Bundeszentralregister ein Leben lang das Etikett ’schuldunfähig‘ gespeichert wird – und der Betroffene weiß nicht einmal etwas davon“, sagte damals DGSP-Sprecher Josef Schädle. Das sei ein „unverantwortlicher Schlag“ gegen Rehabilitationsbemühungen für psychisch erkrankte Menschen.

Auch an den damaligen Justizminister Hans Engelhard von der FDP wandte sich die DGSP. Der verteidigte zwar die Speicherung und verwies in einem Antwortschreiben an die DGSP darauf, dass der Bundesdatenschutzbeauftragte laufend Kontrollen zum Register durchführe. Dabei habe er „ein erfreulich hohes Niveau des Datenschutzes“ beim Generalbundesanwalt festgestellt. Gleichzeitig verspricht der Justizminister aber, das Problem der Benachrichtigungen in eine angestrebte Novellierung des Bundeszentralregistergesetzes aufzunehmen.

Heute sind diese Benachrichtigungen im Bundeszentralregistergesetz fest vorgeschrieben. Auch die Hürden für einen Eintrag zur Schuldunfähigkeit sind gestiegen und setzen mittlerweile ein medizinisches Sachverständigengutachten voraus.

Entmündigung im Melderegister

Rund zehn Jahre vor der Diskussion über Schuldunfähigkeitseinträge wurde bereits über ein anderes Register diskutiert, in dem ursprünglich jede Menge sensible Daten landen sollten. In einem Gesetzentwurf aus dem Jahr 1977 war geplant, bestimmte Zwangsunterbringungen in psychiatrischen Krankenhäusern im Melderegister zu speichern, genau wie Informationen über „Pflegschaft“, „vorläufige Vormundschaft“ und „Entmündigung“. Das führte zu Protesten, die Schwäbische Zeitung titelte: „Das neue Bundesmeldegesetz diskriminiert psychisch Kranke auf unerträgliche Weise“.

Neben Daten über Einweisungen und Vormundschaften sollten laut dem damaligen Entwurf des FDP-Innenministers Werner Maihofer Dutzende weitere private Informationen im Melderegister gespeichert werden, darunter Scheidungsgründe und Lohnsteuerinformationen. „Gläserner Mensch“ titelte der Spiegel dazu im Februar 1978 und vergleicht es mit den „Orwellschen Schreckensvisionen von 1984“, die Angst vor einem Personenkennzeichen ging um.

Das Maihofersche Meldegesetz war eine Reaktion auf die Versuche, mit Anschlägen und Entführungen durch die Rote Armee Fraktion umzugehen. Die Eintragungen über Unterbringungen und Entmündigungen dienten jedoch einem anderen Zweck: Die betroffenen Personen waren vom Wahlrecht ausgeschlossen und sollten dementsprechend etwa beim Versand von Wahlbenachrichtigungen erkannt werden. Der Ausschluss von Wahlen ist diskriminierend, weil er von politischer Teilhabe ausschließt, und endete für betreute und wegen Schuldunfähigkeit untergebrachte Menschen erst nach einer Entscheidung des Bundesverfassungsgerichts im Jahr 2019.

Die geplante Aufnahme von Unterbringungen und anderem in das Melderegister alarmierte in den 70ern die Saarländische Gesellschaft für Soziale Psychiatrie. „Durch die Nähe der stationären Behandlung zu amtlichen Bereich, zur staatlichen Kontrolle, entstehen Angst und wieder mehr Vorurteile gegen die psychiatrische Behandlung“, schreibt sie April 1978 in einer öffentlichen Stellungnahme. Das habe zur Folge, dass „die Patienten sich von Nicht-Fachleuten behandeln lassen oder zu spät in Behandlung kommen“.

Die Kritik von vor 50 Jahren bleibt aktuell

Der saarländische Verband weist auch darauf hin, dass dies die Gleichstellung psychisch Kranker mit körperlich Kranken, die noch von der Enquete als zentrale Forderung formuliert worden war, „gesetzlich verhindert“: „Vorurteile gegenüber dieser Gruppe, die sowohl krankmachend als auch krankheitserhaltend wirken, werden deshalb leichter aufgebaut und verstärkt.“ Die DGSP veröffentlichte ebenfalls eine Stellungnahme und warnte davor, dass durch die Registrierung das Vertrauensverhältnis zwischen Patient:innen und Ärzt:innen „erschüttert“ werde: „Die Chancen der Rehabilitation verschlechtern sich, denn außerhalb des Krankenhauses bleibt die Tatsache behördlich feststellbarer psychischer Auffälligkeit.“

Die Bundesregierung zog Maihofers Vorschlag zurück, kurz darauf legte der sein Amt als Innenminister nieder – jedoch vor allem wegen des polizeilichen Fahndungsversagens bei der Entführung von Hanns Martin Schleyer durch die RAF, der letztlich ermordet wurde. Maihofers Parteikollege und Nachfolger, der Bürgerrechtler Gerhart Baum, ging einen anderen Weg, nachdem er seine Meinung aus seiner Zeit als parlamentarischer Staatssekretär geändert hatte. In Baums Amtszeit trat 1980 erstmals ein Melderechtsrahmengesetz in Kraft, ohne jegliche Speicherung von Betreuungen oder Einweisungen.

Die Kritik der Fachleute von damals ähnelt derjenigen an den heutigen Plänen zu Registern, Datenspeicherung und -austausch. Doch damals, so wirkt es rückwirkend betrachtet, haben die verantwortlichen Politiker:innen auf Mahnungen von Fachleuten gehört. Neue Gesetze, um Daten über Menschen mit einer psychiatrischen Diagnose in Behörden zu sammeln und zusammenzuführen, waren in den darauffolgenden Jahrzehnten keine ernstgenommene Forderung mehr.

Ein gesellschaftlicher Konsens bröckelt

Die Gleichstellung von körperlich und psychisch Erkrankten und der Abbau von Stigmatisierung waren nach der Enquete in den 70ern ein gemeinsames Ziel, wenngleich es bis heute nicht vollständig erreicht worden ist. Menschenrechtliche Kritik an der Psychiatrie bleibt zahlreich: zu viel Zwang, zu wenig Autonomie sind häufige Vorwürfe.

Dennoch: „Es hat viele Jahrzehnte diesen gesellschaftlichen Konsens gegeben, dass man mehr Teilhabe und weniger Stigmatisierung wollte“, sagt Kappert-Gonther, die selbst an Reformen in Kliniken mitgearbeitet hatte.

Doch heute, so Kappert-Gonther, erlebe man einen Backlash. Das gesellschaftliche Klima bewege sich in Richtung „Us and them, wir und die“, Menschen distanzieren sich von denen, die sie als „anders“ wahrnehmen. Es fällt ihr nicht schwer, jede Menge Ereignisse aufzuzählen, die das befeuern: „Es kam die Corona-Pandemie, dazu die Klimakrise, Kriege und eine zunehmende Faschisierung“, deren vorläufigen Höhepunkt sie im Agieren von Donald Trump sieht. All das bringe auch eine zunehmende Aggressivität mit sich, die sich etwa in einer steigenden Anzahl registrierter Gewalttaten widerzuspiegeln scheint.

„Psychische Erkrankungen werden heute schneller mit Kriminalität in Verbindung gebracht“, sagt die Abgeordnete. Das sei aber nicht alles: „Gewalt und Kriminalität werden psychopathologisiert.“ Damit meint Kappert-Gonther, dass gesellschaftliche Problemlagen wie zunehmende Aggressivität vorrangig mit psychischen Problemen begründet und andere Ursachen dabei ausgeblendet würden. „Dabei gibt es keine Erkrankung, die direkt zur Kriminalität führt.“

Gegen Aggressivität hilft keine Psychiatrie allein

Tatsächlich geht von psychisch Erkrankten in der Regel kein höheres Gewaltrisiko aus als von Menschen ohne eine entsprechende Diagnose. Und wenn eine psychisch erkrankte Person eine Gewalttat begeht, besteht längst nicht in jedem Fall ein Zusammenhang. Menschen mit psychischen Erkrankungen begehen Straftaten in den meisten Fällen nicht ursächlich, weil sie erkrankt sind.

Untersuchungen zeigen allerdings auch: Bestimmte Faktoren können zu einer höheren Gewaltneigung führen, etwa wenn eine Person unter dem Einfluss von Alkohol oder anderen Substanzen steht. Oder wenn Menschen Psychosen erleben, insbesondere wenn sie keinen Zugang zu angemessener Behandlung haben. Zu diesen Faktoren kommen jedoch viele weitere Risikoindikatoren hinzu, die zunächst nichts mit einer psychiatrischen Diagnose zu tun haben, etwa soziale Isolation, männliches Geschlecht oder Wohnungslosigkeit. Für Kappert-Gonther bedeutet das: „Wir können das Gewaltproblem in der Gesellschaft nicht innerhalb des psychiatrischen Versorgungssystems lösen.“ Sie fordert eine „seelenfreundliche Politik“, die das angeht, was Menschen belastet – von der Klimakrise bis zur Wohnungsnot.

Der Psychiater Schomerus kritisiert ebenfalls, wie sich die Diskussion um psychische Erkrankungen verschiebt. Er sagt aber gleichzeitig: „Es sollte kein Tabu geben, über Gewalt im Zusammenhang mit psychischer Krankheit zu sprechen. Man muss das sogar tun, es dann aber auch einordnen.“ Dies schließe ein, auch auf alle andere Umstände hinzuweisen, die Gewalt begünstigen können, und keine schnelle monokausale Zuweisung vorzunehmen.

„Wenn man wohnungslos ist, hat man weniger Zugang zu medizinischer Unterstützung und hält sich fast rund um die Uhr im öffentlichen Raum auf“, führt Schomerus ein Beispiel an. „Wenn man dann zusätzlich eine schwere psychische Krankheit hat, steigt natürlich die Gefahr für Zwischenfälle, wie dass man mit jemandem aneinandergerät oder dass es zu Konflikten kommt. In einem anderen Kontext wäre das aber gar nicht passiert.“

Das Stigma wächst wieder

Um eine zielführende Diskussion über Gewalt und ihre Ursachen zu führen, müsse man also herausfinden, wo die Probleme lagen, die zu einer Eskalation geführt haben, sei es bei einer Behandlung oder sozialen Rahmenbedingungen. „Es ist nicht hilfreich, sich nur auf einen dieser Faktoren wie psychische Erkrankungen zu fokussieren und so zu tun, als würde der allein ein Gewaltrisiko erklären“, sagt Schomerus. „Es ist aber genauso wenig sinnvoll, bestimmte Faktoren auszublenden.“

Neben seiner Tätigkeit als Direktor der Klinik und Poliklinik für Psychiatrie und Psychotherapie hat sich Schomerus der Stigmaforschung gewidmet. In Langzeitstudien untersucht er gemeinsam mit Kolleg:innen die Haltung der Bevölkerung zu psychischen Erkrankungen seit den 1990er-Jahren. „Wir sehen, dass es Krankheitsbilder gibt, die uns näherrücken und über die auch gesprochen werden kann“, sagt der Forscher. Beispiele dafür seien Depressivität, Ängstlichkeit oder Aufmerksamkeitsstörungen. „Diese Dinge haben in unserer Zeit mittlerweile einen Platz, man kann darüber besser reden als noch vor zwanzig Jahren. Das Stigma ist zwar nicht verschwunden, aber es hat nachgelassen.“

Größer wird die Ausgrenzung jedoch insbesondere bei Menschen mit schweren psychischen Erkrankungen wie einer Schizophrenie. „Das beobachten wir besonders bei Krankheiten, die das Umfeld herausfordern, weil sie unerklärlich sind oder bedrohlich erscheinen“, sagt Schomerus. „Wir können feststellen, dass das Bedürfnis nach Distanz zu Menschen mit diesen Krankheiten zunimmt.“ Das heißt: Menschen lehnen es in den vergangenen dreißig Jahren stärker ab, etwa mit einer an Schizophrenie erkrankten Person zusammenzuarbeiten oder sie Freund:innen vorzustellen.

„Die Angst wird man nicht abschaffen können“

Diese Distanzierung zeige sich auch darin, wie und wie häufig über entsprechende Krankheiten geschrieben wird. Über Schizophrenie werde generell deutlich weniger berichtet als über etwa Depressionen. Gleichzeitig habe aber die Berichterstattung über negative Stereotype zugenommen. So werde immer häufiger über Zusammenhänge von Schizophrenie und Gewalttätigkeit geschrieben statt über die Teilhabe von Menschen mit dieser Diagnose. Um der zunehmenden Ausgrenzung entgegenzutreten, helfe es, betroffene Personen sichtbar zu machen, glaubt Schomerus. „Wir dürfen nicht über die Leute sprechen, sondern müssen mit ihnen reden.“ Ihm ist es wichtig, dass psychische Krankheiten nicht nur in akuten Extremsituationen dargestellt werden, sondern auch in Zusammenhang mit Teilhabe oder überwundenen Krisen.

„Die Angst der Menschen wird man nicht abschaffen können“, sagt Brigitte Richter. „Menschen mit Psychosen machen eben Dinge, die andere nicht begreifen. Sie verhalten sich für Außenstehende ziemlich komisch.“ Dass das Menschen teilweise erschreckt, verwundert sie nicht. „Es ist nun mal schwer zu erklären, dass da jemand in einer vollen Bahn die Notbremse zieht, weil er wähnt, dass der Waggon voller Vampire ist.“ Dass ein solches Verhalten Menschen irritieren kann, erlebt sie ebenso bei sich, wenn sie mit Personen in akuten Phasen zu tun hat. Auch wenn sie, wie sie erzählt, selbst „mindestens acht Mal psychotisch“ war.

Krisen seien aber in der Regel nicht der Dauerzustand, betont Richter. Und man merkt ihr an, dass sie von der immer wiederkehrenden Diskussion über Gewalt und vermeintliche Gefährlichkeit in der langen Zeit ihres Engagements eigentlich genug hat. „Wenn wir immer nur über psychische Erkrankungen und Gewalt reden, bleibt das hängen“, sagt sie. „Selbst wenn wir sagen, dass psychische Erkrankungen und Gewalt erst mal nichts miteinander zu tun haben. Was dann im Kopf bleibt, ist der Zusammenhang: Gewalt, psychisch krank, Gewalt, psychisch krank.“ Da bleibe immer was hängen, egal wie sehr man sich um Differenzierung bemüht.

Nicht einfach, aber engagiert bleiben

„Wir sind auch Menschen mit Selbstverantwortung, sogar öfter als dass wir akute Krankheitsphasen haben“, sagt sie. Und trotzdem würden Berichte über Menschen mit Diagnosen oft auf genau diese Zeiten verkürzt. Richter wünscht sich, dass man auch „diese positive Seite betonen würde, dann wäre uns als Betroffenen mehr geholfen“. Sie meint damit, dass Menschen mit psychischen Belastungen ernst genommen und nicht auf ihre Krisen reduziert werden. „Ich wünsche mir, dass wir als Menschen gesehen werden, die eben auch ihre Macken haben. Und gegen manche dieser Macken kann man ja sogar was tun“, sagt Richter.

In einer Klinik war Richter zum ersten Mal im Jahr 1975. Sie bezeichnet sich deshalb auch als „Zeitzeugin“ der Psychiatrie-Enquete. Über viele Jahre hat sie die Entwicklung der psychiatrischen Versorgung selbst miterlebt und letztlich selbst daran teilgehabt. Sie machte eine Ausbildung zur Ergotherapeutin und arbeitete jahrelang selbst auf psychiatrischen Stationen. Schon lange ging sie im beruflichen Kontext offen mit ihrer eigenen Psychiatrieerfahrung um, obwohl sie das zu Beginn fast den Ausbildungsplatz gekostet hätte. „Ich stehe dazu. Basta. Da bin ich radikal“, sagt Richter heute. „Ich nehme das Stigma an und habe damit auch gute Erfahrungen gemacht.“

Für ihr Engagement bekam Richter im Jahr 2023 sogar das Bundesverdienstkreuz. Ein solches Engagement für Menschen, die in unserer Gesellschaft eine psychische Belastung erleben, wird es weiterhin brauchen – ob als medizinische Fachperson, Psychiatrieerfahrene oder Nachbarin. Gerade weil der Kampf für eine menschenrechtsorientierte Versorgung in den zurückliegenden Jahrzehnten vorangekommen ist, liegt es an allen zu verhindern, dass diese Entwicklung wieder rückwärts läuft.

Bald soll Richter einen Ehrenbrief des Bezirks bekommen, in dem sie lebt. „Sie sind zwar nicht einfach, aber engagiert“, habe der Bezirkstagspräsident zu ihr gesagt, als er ihr die Botschaft überbrachte. Schon in ihren Arbeitszeugnissen habe gestanden, dass sie beharrlich sei, erinnert sich Richter. Für sie ist das ein großes Kompliment und sie verspricht in einem Text für das Infoblatt Psychiatrie: „Ich werde auf jeden Fall nicht einfach, aber engagiert bleiben – so lange ich das noch kann.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In a phishing attack, unknown actors are apparently attempting to gain access to accounts of journalists and activists on the Signal messaging service. We explain how the attack works and how you can protect yourself against it.

 This article is also available in German.

Journalists have increasingly been targeted by a well-known phishing attack on the Signal messenger service in recent days and weeks, according to reporting by netzpolitik.org. Dozens of (investigative) journalists, some of them prominent, at public television stations and several large and small media outlets, including Die Zeit, Correctiv, and netzpolitik.org, have been affected. Furthermore, individual high-profile representatives of civil society, including lawyers, were hit by the attack.

Netzpolitik.org has not yet been able to find any victims of the attack outside of these categories. This suggests a targeted phishing attack on specific phone numbers, but is not proof of such an attack.

“We have seen early indications that journalists, politicians, and civil society members in Germany and across Europe have been targeted.” Donncha Ó Cearbhaill, head of the Security Lab at Amnesty International, confirmed to netzpolitik.org.

“This Signal phishing campaign appears to be highly active,” Ó Cearbhaill said. According to the security expert, it is unclear how often the attacks were successful, but the spread of the campaign appears to be fueled by stolen address book entries collected from previous victims.

How does the attack work?

In the campaign, attackers send a Signal message, pretending to be “Signal Support” and claiming that there has been suspicious activity on the mobile phone and an attempt to access private data. For this reason, those affected must go through the Signal verification process again and send the verification code to a “Signal Security Support ChatBot”, the fraudulent messages claim. The earliest victims of the attack identified by netzpolitik.org were contacted in November. The first publicly known reports of the attempted attacks were published in October by Citizen Lab researcher John Scott-Railton.

The request from the fake support account reads as follows:

Dear User, this is Signal Security Support ChatBot. We have noticed suspicious activity on your device, which could have led to data leak. We have also detected attempts to gain access to your private data in Signal. To prevent this, you have to pass verification procedure, entering the verification code to Signal Security Support Chatbot. DON’T TELL ANYONE THE CODE, NOT EVEN SIGNAL EMPLOYEES.

If this chat request is accepted, victims receive a text message containing a verification code on their cell phone, as one victim confirmed to netzpolitik.org. This is apparently a genuine verification code from Signal. It indicates that immediately after accepting the chat request, the attackers attempt to re-register an account with the cell phone number.

If this verification code is passed on to the fraudulent “Signal Support”, the attackers may register a new account. Additionally, Signal accounts are protected with a Signal PIN, which is a second security layer in addition to the verification code delivered by SMS. If the attackers do not know this PIN, they cannot see contacts, groups, or content.

However, if the Signal PIN is passed on to the attackers, they can gain access to the user’s profile and contacts. Although they cannot see past chats, they can lock out the legitimate user by changing the Signal PIN and then activating the registration lock. This would allow attackers to take over the account permanently – other users in chats or groups would only notice that the security number has changed.

Possible target: Spying on political networks and sources

Afterwards, chat groups can be accessed, and the contacts and networks of those affected can be identified. In the case of journalists, for example, this could reveal sources who communicate with journalists in a confidential and encrypted manner. In the case of activists, political networks and contacts could be exposed. In the course of a permanent account takeover, the attacker can also read all communication content accumulated since the takeover.

None of the victims known to netzpolitik.org went further than accepting the chat and receiving the verification SMS.

However, an attacker with internal access to the operator’s mobile network infrastructure could intercept the verification codes sent by SMS and would not need to request them. To gain full access to the account, they would also have to request the Signal PIN. Netzpolitik.org was not able to identify who is behind the attack, based on the information available.

How can you protect yourself?

“These attacks do not exploit a vulnerability in the Signal application itself. Signal remains one of the most secure and widely used encrypted messaging apps,” said Donncha Ó Cearbhaill, the Amnesty International security expert.

A Signal spokesperson told netzpolitik.org: “Signal will never contact you in any way via a two-way chat within the app.” In addition, users should activate the registration lock. This can be done under “Settings” -> ‘Account’ and then activating the slider for “Registration lock.” Signal also stresses: “Never share your Signal PIN or registration lock with anyone else.”

Users who receive a message from a previously unknown account with the content described above or similar content, should report the incoming message and then click “report and block.” Under no circumstances should users follow the instructions: Signal would never contact users in this manner.

If a message appears in chats stating that a contact’s security number has changed, this often just means that they bought a new cell phone. Nevertheless, in such situations, users should always ask the contact in question why their security number has changed using a channel other than the Signal text chat.

A phone call or, even better, a video call is usually suitable to verify a changed security number. It is also advisable to display all devices connected to Signal and delete those that are no longer needed.

If you have been the target of this attack, have lost access to your Signal account in this way, or have further information and clues about this attack, please contact us confidentially for further investigation and research.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Zwar hat ein deutsches Verwaltungsgericht die verhängten Netzsperren gegen Pornhub gekippt. Dennoch will die Plattform anscheinend Alterskontrollen in der EU einführen, wie der Konzern auf Anfrage von netzpolitik.org mitteilt. Hinter dem möglichen Kurswechsel steckt eine Strategie.

Lange hat sich Pornhub in Deutschland dagegen gewehrt, das Alter seiner Nutzer*innen zu kontrollieren. Pornhub ist eine der weltgrößten Pornoseiten und zugleich eine der meistbesuchten Websites. Im Namen des Jugendschutzes soll Pornhub etwa die Ausweise aller Besucher*innen prüfen, um Minderjährige fernzuhalten. In Deutschland setzt sich die Medienaufsicht dafür ein. Während sich die Pornoseite seit Jahren vor deutschen Gerichten gegen die Regulierungsbehörde stemmt, kündigt Mutterkonzern Aylo nun einen Kurswechsel an.

„Aylo ist einer der ersten Teilnehmer am Pilotprogramm der Europäischen Kommission zur Einführung der Altersverifikation über die europäische Altersverifikations-App“, schreibt ein Sprecher auf Anfrage von netzpolitik.org.

Die EU ist ein weiterer Player bei der Durchsetzung von Jugendschutz im Netz – und ein größerer als die deutsche Medienaufsicht. Aktuell arbeitet die EU-Kommission an einer App zur Alterskontrolle. Diese App können altersbeschränkte Dienste wie etwa Pornoseiten vorschieben, um ihre Besucher*innen zu filtern. Schon jetzt testen das fünf Mitgliedstaten. Künftig sollen die Funktionen der App in der digitalen Brieftasche (European Identity Wallet, EUDI) aufgehen, die laut Plan im Jahr 2026 kommen soll.

Widersprüchliche Signale von Pornhub-Mutter Aylo

Warum bekennt sich Pornhub plötzlich zum Einsatz dieser Alterskontroll-App – sogar als einer der ersten? Auf Anfrage teilt der Konzern mit, sich schon seit Jahren für effektive und durchsetzbare Alterskontrollen eingesetzt zu haben. „Wir alle wollen die Sicherheit von Minderjährigen im Internet gewährleisten, und wir alle tragen gemeinsam die Verantwortung dafür“, so ein Sprecher auf Englisch.

Noch vor einem Jahr führte die Argumentation von Pornhub allerdings in eine andere Richtung. In ihrem ersten Interview mit einem deutschsprachigen Medium sagte Alex Kekesi, Leiterin für Community- und Markenmanagement bei Pornhub, damals gegenüber netzpolitik.org: Wenn Websites des Alter von Nutzer*innen kontrollieren, berge das „reale Gefahren“. Konkret sagte sie:

Wie viele Websites für Erwachsene gibt es weltweit? Vermutlich Hunderttausende, wenn nicht Millionen. Wie soll eine Regierung all diese Seiten überwachen können? Es ist schlicht unmöglich, überall das Alter zu kontrollieren. Bei Kontrollen auf Website-Ebene werden gerade große Plattformen zur Zielscheibe, weil sie dann gesperrt werden oder schwerer zugänglich sind. Das treibt das Publikum zu kleineren Websites, die oft nicht einmal ihre Inhalte prüfen und sich an keine Altersvorgaben halten.

Stattdessen plädierte die Pornhub-Managerin für Kontrollen auf Ebene von Betriebssystemen. Demnach sollte das Alter direkt bei der Einrichtung eines Geräts geprüft werden. Nun scheint es, dass Pornhub doch klein beigibt und sich den Anforderungen der EU-Kommission beugen will.

Mit Sicherheit sagen lässt sich das derzeit aber nicht. Denn auf konkrete Rückfragen zu den geplanten Alterskontrollen reagierten sowohl die EU-Kommission als auch Aylo nebulös.

„Es gab Aufrufe, Pornos zu verbieten“

Die Pressestelle der EU-Kommission konnte auf Anfrage von netzpolitik.org zunächst nichts Näheres dazu sagen, ob Pornhub überhaupt Teil eines „Pilotprogramms“ ist. Wenn wir eine weitere Antwort erhalten, werden wir den Artikel ergänzen.

Alyo wiederum möchte auf Nachfrage nicht näher benennen, wann genau Pornhub die Alterskontroll-App für EU-Nutzer*innen einführen will. Einerseits schreibt der Sprecher: „Wir sind entschlossen, in allen Ländern, in denen wir geschäftlich tätig sind, stets die gesetzlichen Vorgaben einzuhalten.“ Das deutet auf eine zeitnahe Einführung der Alterskontrollen hin.

Andererseits schreibt der Sprecher: „Wir glauben, dass eine solche Lösung wirksam sein kann, wenn sie branchenweit eingesetzt wird.“ Zudem müsse die Abwanderung von Nutzer*innen zu anderen Websites verhindert werden. Das deutet darauf hin, dass Pornhub den Einsatz der App an Bedingungen knüpft – die auf absehbare Zeit nicht eintreten. Denn technisch lässt sich nicht zuverlässig verhindern, dass Menschen genervt eine Seite ohne Alterskontrollen ansteuern.

Strategie: Testballon

Die Widersprüche ergeben mehr Sinn, wenn man die zugrundeliegende Strategie der Plattform betrachtet. Während Regierungen weltweit den Druck auf Pornoseiten erhöhen, erprobt Pornhub je nach Land verschiedene Reaktionen – wohl um herauszufinden, was dem Konzern am meisten nutzt. Pornhubs Reaktionen lassen sich mit Testballons vergleichen.

• In einigen Bundesstaaten der USA hat Pornhub selbst den Zugriff auf die Seite blockiert. Statt sich den dortigen Gesetzen für Alterskontrollen zu beugen, hat Pornhub den Einbruch von Klicks in Kauf genommen.
• Im Juni 2025 hat Pornhub dasselbe in Frankreich getan und den Zugang für dortige Nutzer*innen blockiert. „Website-basierte Altersüberprüfung funktioniert nicht. Es schützt keine Kinder und setzt die Daten von Millionen Franzosen Datenschutzverletzungen und Hacking aus“, warnte der Konzern auf Englisch und plädierte einmal mehr für Alterskontrollen auf Ebene von Betriebssystemen. „Ihre Regierung wird Ihnen diesbezüglich nicht die Wahrheit sagen, aber wir werden es tun.“
• In Großbritannien wiederum hat Pornhub im Sommer 2025 Alterskontrollen eingeführt, wie es der dortige Online Safety Act verlangt.

Warum also zeigt sich Pornhub neuerdings offen für Alterskontrollen in der EU? Ein Faktor könnte sein, dass Brüssel ein weiteres Druckmittel in der Hand hat. Dort hat die EU-Kommission Pornhub nämlich als „sehr große Plattform“ (VLOP) nach dem Gesetz über digitale Dienste (DSA) eingestuft. Diesen Status haben nur die größten Online-Dienste in der EU. Er geht mit erweiterten Pflichten einher. Betroffene Dienste müssen besonders transparent sein und verstärkt Risiken eindämmen, auch für Minderjährige. Andernfalls drohen Geldbußen. Pornhub wehrt sich gegen die Einstufung als VLOP und beruft sich auf angeblich gesunkene Nutzungszahlen.

Ein weiterer Faktor dürfte sein, dass die geplante Alterskontroll-App der EU zumindest ein Stück weit den Anforderungen von Pornhub entgegenkommt. Zwar bringt die App keine Alterskontrolle auf Ebene des Betriebssystems, wie es der Konzern oftmals gefordert hat. Aber die App verspricht – je nach konkreter Ausgestaltung – Datensparsamkeit. Das könnte verhindern, dass zahlreiche externe Anbieter sensible Ausweisdaten horten, wie es Gutachter*innen jüngst in Australien beobachtet haben.

EU-Kommission gibt klares Jein zu Alterskontrollen

Verwaltungsgericht Düsseldorf kippt Netzsperren

Im Ringen zwischen Pornhub und EU-Kommission ist das letzte Wort also noch lange nicht gesprochen. Zumindest in Deutschland hat die Plattform jüngst einen Etappensieg erzielt. Am 19. November hat das Verwaltungsgericht Düsseldorf die gegen Pornhub und die Schwesterseite YouPorn verhängten Netzsperren wieder gekippt.

Angeordnet wurden die Netzsperren von der Landesanstalt für Medien Nordrhein-Westfalen, nachdem Pornhub in Deutschland keine Alterskontrollen einführen wollte. Sowohl Pornhub als auch betroffene Provider sind deshalb vor Gericht gezogen. Auch wenn sich Netzsperren kinderleicht umgehen lassen, gelten sie als besonders gravierende Maßnahme, das vor allem autoritäre Staaten gerne einsetzen.

Der Rechtsstreit auf Deutschland-Ebene macht anschaulich, wie unterschiedlich Pornhub gemäß seiner Testballon-Strategie handelt. In den USA und Frankreich hatte Pornhub den Zugang zur Website freiwillig blockiert. In Deutschland wiederum ging die Plattform vor Gericht, um nicht blockiert zu werden.

Der Grund für Pornhubs jüngsten Etappensieg in Düsseldorf liegt im Wandel der Zuständigkeiten auf nationaler und EU-Ebene. Die Plattform konnte mit Blick auf die verhängten Netzsperren erfolgreich argumentieren, dass nicht etwa die Anordnungen der deutschen Medienaufsicht Vorrang haben, sondern EU-Recht. Deshalb durften die betroffenen Internet-Provider die Netzsperren wieder aufheben.

Medienaufsicht kämpft um Zuständigkeit

All das ist aber nicht endgültig. Die deutsche Medienaufsicht will die Einschränkung ihrer Kompetenzen nicht hinnehmen und hat bereits Beschwerde gegen die Beschlüsse aus Düsseldorf eingelegt. Das bestätigt die Behörde auf Anfrage von netzpolitik.org. Darüber entscheiden wird das Oberverwaltungsgericht in Münster. Auch das Hauptsacheverfahren läuft weiter. In diesem Verfahren geht es ebenso darum, ob für Pornhub der europäische oder der nationale Rechtsrahmen Vorrang hat.

Vor den deutschen Verwaltungsgerichten werden also noch zwei Konflikte ausgetragen. Für Pornhub geht es darum, mit welcher Regulierungsbehörde sich die Plattform künftig herumschlagen muss. Für die deutsche Medienaufsicht geht es darum, ob sie nach jahrelangem Kampf gegen frei verfügbare Pornografie in Deutschland ihre Zuständigkeit gegenüber Brüssel einbüßt.

„Den betroffenen Kindern ist es vermutlich ziemlich egal, wer sie schützt, nur passieren müsste es“, kommentiert Tobias Schmid, Direktor der Landesanstalt für Medien NRW. Ganz so entspannt, wie das Zitat es nahelegt, dürfte die Haltung seiner Behörde jedoch nicht sein. Denn mit ihrem Vorgehen gegen Pornoseiten konnte die Landesanstalt für Medien über viele Jahre lang öffentliche Aufmerksamkeit für ihre Arbeit gewinnen und sogar ihre Instrumente erweitern.

Jüngst hat die Novelle des Staatsvertrags für Jugendmedienschutz (JMStV) der Medienaufsicht zwei neue mächtige Werkzeuge beschert. Diese Machterweiterung geht direkt auf das Engagement der Behörde gegen Pornoseiten zurück. So soll die Medienaufsicht künftig einfacher Netzsperren anordnen können und widerspenstigen Diensten über Zahlungsdienstleister den Geldhahn abdrehen dürfen. Selbst wenn die Medienaufsicht bald einen Teil ihrer Zuständigkeit für Pornoseiten verlieren sollte – diese Instrumente bleiben.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Streit um die Berufung der ehemaligen Meta-Angestellten Niamh Sweeney zur irischen Datenschutzbeauftragten erreicht Brüssel. Doch auch nach einer formalen Beschwerde des Irish Council for Civil Liberties will die EU-Kommission offenbar nicht in das Verfahren eingreifen.

Das Irish Council for Civil Liberties (ICCL) hat am 28. Oktober eine formale Beschwerde bei der EU-Kommission eingereicht. Darin kritisiert die Menschenrechtsorganisation die Ernennung von Niamh Sweeney zur Leiterin der irischen Data Protection Commission (DPC). Die Berufung stelle die Unabhängigkeit der Datenschutzbehörde infrage.

Bereits vergangene Woche hatten mehrere Nichtregierungsorganisationen der irischen Regierung einen Beschwerdebrief übergeben, in dem sie die Ernennung Sweeneys kritisieren. Als Grund führen sie zum einen an, dass diese mehr als sechs Jahre als Lobbyistin für den Tech-Konzern Meta tätig war. Meta ist eines der Unternehmen, das die DPC überwacht.

Zum anderen kritisieren die NGOs das Auswahlverfahren selbst. Dafür stellte das Unternehmen publicjobs ein Gremium aus fünf Personen zusammen. Darunter war auch Leo Moore. Der Anwalt der Kanzlei William Fry hat mit mehreren Big-Tech-Unternehmen zusammengearbeitet. Neben Moore gehörte außerdem ein Vertreter des irischen Justizministeriums dem Auswahlgremium an: Deputy Secretary General Doncha O’Sullivan.

Irland: Liebling der Tech-Branche

In seiner Beschwerde betont das ICCL, dass die DPC eine Schlüsselposition bei der Durchsetzung der europäischen Datenschutzgrundverordnung (DSGVO) einnehme. Außerdem müsse die irische Datenschutzkommission laut EU-Recht vollkommen unabhängig gegenüber jeglichen Weisungen von außen agieren – auch gegenüber möglicher Einflussnahme der irischen Regierung.

Viele Technologiekonzerne haben ihren europäischen Hauptsitz in Irland, darunter Meta, Google, Apple, Microsoft und TikTok. Die Unternehmen tragen einen erheblichen Teil zu Irlands Wirtschaft bei. Und Meta allein zahlte im Jahr 2023 mehr als 280 Millionen Euro Steuern an die irischen Behörden.

Derweil geriet die Durchsetzung der DSGVO in Irland den vergangenen Jahren immer wieder ins Stocken. Im Jahr 2022 klagte die DPC sogar gegen eine Entscheidung des ihr übergeordneten European Data Protection Board, um keine weitergehenden Ermittlungen zu Metas Datenverarbeitung aufnehmen zu müssen.

Die Berufung Sweeneys zur dritten Datenschutzkommissarin lässt den ICCL an der Unabhängigkeit der Datenschutzbehörde zweifeln. In ihrer Beschwerde an die EU Kommission schreibt die Organisation:

„Angesichts der bisherigen Bilanz der irischen Datenschutzkommission und der begründeten Zweifel an ihr hätte Irland sich über jeden Vorwurf [der Parteilichkeit] erheben müssen, unter anderem durch die Einführung von Verfahrensgarantien für die Ernennung der Mitglieder seiner Behörde.“

EU-Kommission will offenbar nicht eingreifen

Bei einer Pressekonferenz der EU-Kommission am 29. Oktober erkundigte sich eine Journalistin bei einem Kommissionssprecher, ob die Kommission die Beschwerde des ICCL annehmen werde. Der Sprecher antwortete, dass die europäischen Mitgliedstaaten für die Besetzung ihrer jeweiligen Datenschutzbehörde zuständig seien.

Die Kommission sei nicht in das Auswahlverfahren involviert gewesen und habe auch keine Kompetenzen einzuschreiten. Zugleich versuche die Kommission „immer sicherzustellen […], dass alle europäischen Datenschutzbehörden die Mittel und Unabhängigkeit haben, um ihrer Arbeit nachzugehen“.

Die Reaktion der EU-Kommission kritisiert Itxaso Domínguez de Olazábal vom Verband europäischer Digitalorganisationen European Digital Rights (EDRi): „Die Kommission kann nicht weiter wegschauen, während eine nationale Regulierungsbehörde die Grundsätze der Union untergräbt“, sagt de Olazábal gegenüber netzpolitik.org. „Der Schutz personenbezogener Daten und Grundrechte ist Teil dessen, wofür die EU steht – und die Kommission muss entsprechend handeln.“

Domínguez betont, dass die Beschwerde des ICCL nicht nur auf das Auswahlverfahren, sondern auch auf die Unabhängigkeit der DPC beziehe. Daher liege das Verfahren durchaus im Zuständigkeitsbereich der Kommission. „Die Kommission konzentriert sich offenbar auf das Auswahlverfahren und übersieht dabei das tieferliegende Problem: die anhaltende mangelnde Unabhängigkeit der irischen Datenschutzbehörde, die durch diese Ernennung offengelegt wird“.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Tech-Gigant Meta will Daten, die Nutzer*innen in seinen Chatbot eingeben, künftig auslesen und speichern. Damit sollen Anzeigen treffsicherer personalisiert werden. Es gibt nur einen Weg, sich der Datensammlung zu entziehen.

Den Meta-Chatbot können Menschen über Instagram, Whatsapp und Facebook ansprechen. Laut Meta nutzen ihn monatlich mehr als eine Milliarde Menschen. Viele davon teilen intime Informationen mit der Software.

Die Gespräche, die Menschen mit der sogenannten Künstlichen Intelligenz führen, will Meta künftig auslesen und speichern. Damit sollen Anzeigen treffsicherer personalisiert werden und die Daten sollen auch beeinflussen, welche Posts Nutzer*innen in den Sozialen Netzwerken angezeigt bekommen. Das erklärte Meta gestern in einem Blogpost. Der Konzern behält sich dabei vor, die Informationen aus den Gesprächen in allen seinen Produkten zu nutzen.

Ein Beispiel nannte der Konzern direkt: Wer sich mit der KI etwa übers Wandern unterhalte, bekomme danach womöglich Empfehlungen für Wandergruppen, Wanderstrecken von Bekannten und Werbung für Wanderschuhe angezeigt.

Auch sensible Konversationen werden ausgelesen

Meta gibt zwar an, sensible Konversationen über religiöse Ansichten, die sexuelle Orientierung, politische Meinungen, Gesundheit und ethnische Herkunft nicht für personalisierte Werbung nutzen zu wollen, die Daten werden aber dennoch mit ausgelesen.

Die neue Regelung will Meta ab dem 16. Dezember umsetzen, allerdings zunächst nicht in der EU und Großbritannien. Dort solle das Feature später ausgerollt werden, weil die hiesigen Datenschutzbestimmungen strenger seien. Für das KI-Training werden die Chatprotokolle in Europa wohl schon genutzt.

Seit Juni ist bereits bekannt, dass Meta mit Hilfe von KI Anzeigen erstellen will. Werbetreibende müssen dann nur ein Produktbild und ein Budget vorgeben. Meta möchte durch diese Investitionen die größte Einnahmequelle Werbung noch rentabler machen. Hier bieten sich auch Spielräume für individuelle Personalisierung von Anzeigen – anhand der mit dem Chatbot erhobenen Daten.

Nutzer*innen teilten unbewusst Chatprotokolle

Meta hat den Chatbot für seine Messenger erst vor wenigen Monaten in Europa eingeführt. Er stand schon mehrfach in der Kritik, etwa weil ihm erlaubt war, „sinnliche“ und „romantische“ Konversationen mit Minderjährigen zu führen. Ein anderes Mal, weil viele Nutzer*innen ihre teils sehr persönlichen Chatprotokolle scheinbar unbewusst veröffentlicht hatten.

Die Nutzer*innen können einstellen, in welchem Ausmaß die ihnen ausgespielte Werbung personalisiert werden soll, aber es gibt keine Möglichkeit, sich gegen die Datenerfassung zur Personalisierung zu wehren – außer, den Chatbot nicht zu nutzen. In Whatsapp kann es allerdings sein, dass andere Nutzer*innen ihn zu einer Konversation hinzuziehen. Das lässt sich mit der Funktion „erweiterter Chat-Datenschutz“ verhindern. Oder mit dem Verzicht auf die datensammelwütige App zugunsten von datensparsamen Alternativen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In den kommenden Tagen wird die Bundesregierung entscheiden, wie sie am 14. Oktober in der EU zur Chatkontrolle abstimmt. Eines ist klar: Kommt die Chatkontrolle, wird es keine verschlüsselte und sichere Kommunikation mehr geben.

Der beliebte sichere Messenger Signal hat angekündigt, dass er Deutschland und Europa verlassen wird, wenn die Chatkontrolle kommt und sich keine Wege ergeben, sich dieser anlasslosen Massenüberwachung der privaten Kommunikation zu verweigern. Das hat Signal-Chefin Meredith Whittaker gegenüber der dpa gesagt, wie Tagesschau und Heise berichten. Es deutet sich an, dass eine Entscheidung über die Chatkontrolle am 14. Oktober fallen könnte – und die Position der Bundesregierung ist dabei entscheidend.

„Wenn wir vor die Wahl gestellt würden, entweder die Integrität unserer Verschlüsselung und unsere Datenschutzgarantien zu untergraben oder Europa zu verlassen, würden wir leider die Entscheidung treffen, den Markt zu verlassen“, sagte Meredith Whittaker der Nachrichtenagentur dpa.

Bei der so genannten Chatkontrolle geht es um eine EU-Verordnung, die sich gegen die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs (sogenannte Kinderpornografie) richten soll. Sie wird seit drei Jahren kontrovers in der EU verhandelt, weil die Verordnung Vorschriften enthält, die Messenger wie WhatsApp, Signal, Threema oder Telegram verpflichten sollen, die Dateien aller Menschen auf deren Smartphones und Endgeräten ohne jeden Verdacht zu durchsuchen.

Chatkontrolle als Bedrohung für Privatsphäre und Demokratie

Dieses Durchleuchten von Dateien würde dazu führen, dass eine verschlüsselte und sichere Kommunikation für niemanden mehr möglich ist, weil die Dateien schon vor der eigentlichen Verschlüsselung angeschaut werden können. Die komplette IT-Fachwelt, führende Sicherheitsforscher, Wissenschaftler:innen aus aller Welt sowie zivilgesellschaftliche Organisationen aller Art lehnen daher die Chatkontrolle als Bedrohung für die Demokratie vehement ab. Das Suchen nach Inhalten ist technisch nicht auf bestimmte Inhalte zu begrenzen, sondern könnte in wenigen Handgriffen auch auf politisch missliebige Inhalte ausgeweitet werden.

Signal-Chefin Whittaker sagte der dpa, dass ihr Messenger niemals die Integrität seiner Ende-zu-Ende-Verschlüsselung untergraben werde. „Sie garantiert die Privatsphäre von Millionen und Abermillionen von Menschen auf der ganzen Welt, oft auch in lebensbedrohlichen Situationen.“ Signal lehne deshalb die Chatkontrolle ab. „Es ist bedauerlich, dass Politiker weiterhin einer Art magischem Denken verfallen, das davon ausgeht, dass man eine Hintertür schaffen kann, auf die nur die Guten Zugriff haben.“

Bundesregierung mauert

Während der Ampel-Regierung war die Ablehnung der Chatkontrolle nach anfänglichen Unstimmigkeiten mit dem Innenministerium relativ sicher. Das hat sich mit der neuen schwarz-roten Regierung geändert.

Die neue Bundesregierung, aber auch das beteiligte Innenministerium, das Justizministerium und der Digitalminister machen derzeit keine Aussagen, wie sie zur Chatkontrolle stehen und wie Deutschland am 14. Oktober im EU-Rat stimmen wird. Eine Entscheidung in der Bundesregierung soll in den nächsten Tagen fallen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Was früher noch händisch im Kalender gezählt wurde, machen viele mittlerweile mit einer App: den Zyklus tracken. Doch viele bekannte Apps geben die intimen Daten zu Werbezwecken weiter. Deswegen hat netzpolitik.org besonders datensparsame Zyklus-Apps zusammengetragen.

In welchem Rhythmus man menstruiert, unterscheidet sich von Person zu Person. Das manuell immer wieder nachzuzählen und im Blick zu behalten, kann sehr nervig sein. Um so praktischer, dass es mittlerweile viele Apps gibt, die einem helfen den eigenen Zyklus, das heißt zum Beispiel die Menstruation, den Eisprung und die fruchtbare Phase, zu tracken. Allerdings setzten viele der bekannteren Zyklus-Apps nicht so stark auf Privatsphäre.

Mehrere Untersuchungen, zum Beispiel von Privacy International oder der Mozilla Foundation, konnten nachweisen, dass diese Apps persönliche Daten speichern und an Werbetreibende und Datenhändler verkaufen. Momentan läuft ein Gerichtsprozess gegen die bekannteste App Flo in den USA, weil deren Betreiber von 2016 bis 2019 Nutzer*innendaten an Google und Meta weitergegeben haben sollen.

Daten zu Schwangerschaft sind besonders wertvoll

Der Zugriff auf intime Gesundheitsdaten ist für viele kommerzielle Zyklus-Tracking-Apps die Grundlage ihres Geschäftsmodells. Viele dieser Apps fragen auch deutlich mehr Parameter ab als nur solche zum Zyklus, zum Beispiel genutzte Verhütungsmittel, Alkoholkonsum oder Feiergewohnheiten.

Daten über den Zyklus, besonders über eine bestehende Schwangerschaft, werden von der Branche als wertvoller eingestuft als andere. Es gibt einige Studien, die Korrelationen zwischen Schwangerschaftshormonen und dem Kaufverhalten untersuchen und Zusammenhänge zu einer Art Nestbautrieb aufstellen. Die Marketingbranche würde seit der Mitte des 20. Jahrhunderts werdende Eltern als immer lukrativeren Markt einstufen und mit Werbung anvisieren, so Lara Freidenfelds in ihrem Buch zum Mythos der perfekten Schwangerschaft.

Außerdem warnt Privacy International vor der Gefahr von Zyklus-Apps in einer „post-Roe-Welt“. Nachdem Abtreibungsrechte in den Vereinigten Staaten gekippt wurden, gäbe es Grund zur Sorge, dass Daten von Zyklus-Apps als Beweise in der Kriminalisierung von Schwangerschaftsabbrüchen genutzt werden könnten.

Deswegen ist es um so wichtiger, seine Daten vor der Weitergabe zu schützen. Dazu gibt es einige Zyklus-Apps, die großen Wert auf die Privatsphäre der Nutzer*innen legen. Diese stellen wir hier vor:

Drip

Drip ist eine Open-Source-App von feministischen Coder*innen aus Berlin. Das bedeutet, dass der Quellcode der App für alle zugänglich und einsehbar ist.

• Welche Features bietet Drip?
  Mit der App lassen sich die einzelnen Phasen des Zyklus verfolgen und tägliche Symptome eintragen. Zusätzlich ermöglicht Drip das Tracken des Zyklus mit der sympto-thermalen Methode. Dabei wird zum Beispiel die fruchtbare Phase nicht allein über das Abzählen der Tage bestimmt, sondern auch Werte wie die Körpertemperatur fließen in die Berechnungen ein. Nicht alle Zyklus-Apps haben diese Funktion.
  Drip erstellt Vorhersagen für die nächste Menstruation und zeigt Diagramme für eine zyklusübergreifende Übersicht. Dabei sind die Rechenmethoden transparent einsehbar. Man kann Benachrichtigungen einstellen und den Zugriff auf die App mit einem eigenen Passwort schützen.
• Welche Rolle hat Privatsphäre?
  Drip ist eine besonders tracking-arme App. In ihrer Datenschutzerklärung heißt es: „Drip respektiert und feiert deine Privatsphäre“. Es würden keine Nutzungsdaten oder persönliche Daten gesammelt werden und es gäbe keine Werbung. Die App speichere alle Daten lokal auf dem Handy. Keine anderen Apps sollen auf diese Daten zugreifen können. Mit Ausnahme der Benachrichtigen nutzt Drip keine anderen Handyfunktionen. Eine Anmeldung in der App mit der E-Mail-Adresse sei auch nicht nötig. Für mehr Transparenz kann man den Code der App einsehen.
  Eine der Entwicklerinnen von Drip berichtete 2022 auf netzpolitik.org bereits von der App. Die Coder*innen würden keine kommerziellen Interessen verfolgen, sondern auf „Transparenz und Teilhabe“ setzen.
• Wie funktioniert der Umstieg auf Drip?
  Drip bietet eine detaillierte Anleitung zum Umstieg auf ihre App. Weil viele Apps unterschiedliche Formate nutzen, ihre Daten zu speichern, ist es meist schwierig, die Daten zu exportieren. Drip empfiehlt, sie manuell zu überschreiben. Dafür stellen die Macher*innen eine Dateivorlage zur Verfügung, in die man die relevanten Daten eintragen kann, etwa zum Eisprung oder der Periode. Das kann eine Weile dauern. Die ausgefüllte Datei kann man anschließend über die Einstellungen in die App importieren.
  Für den Umstieg von den weit verbreiteten Apps Flo und Clue empfiehlt Drip sogenannte „Converter“, die andere Menschen programmiert haben und über Plattformen wie GitHub zur Verfügung stellen. Damit werden die Daten aus den alten Apps so umgestellt, dass sie für Drip lesbar sind.

Drip ist verfügbar im Google PlayStore, im App Store und bei F-Droid.

Euki

Euki ist eine App der Women help Women Foundation, die sich als internationale gemeinnützige Organisation für reproduktive Rechte und den Zugang zu sicheren Abreibungen einsetzt.

• Welche Features bietet Euki?
  In der App können Nutzer*innen ihre Symptome eintragen. Es werden Vorhersagen für die nächste Menstruation gemacht. Dazu errechnet Euki den Durchschnitt einiger Werte wie der Zykluslänge oder der Menstruationslänge. Außerdem kann man in der Kalenderfunktion Termine eintragen sowie Erinnerungen einstellen, wann man Medikamente nehmen muss. Die Körpertemperatur könne noch nicht mit Euki getrackt werden, so Euki in seinen FAQs.
  Dafür bietet Euki weitere Gesundheitsangebote, wie medizinische Informationen zu Verhütungsmitteln.
• Welche Rolle hat Privatsphäre?
  Die Analyse der Mozilla Foundation hat die App als sicher eingestuft. Euki selbst verpflichtet sich der Privatsphäre. Auf der Website heißt es: „Wir glauben Privatsphäre ist ein Grundrecht, kein kostenpflichtiges Feature.“
  Alle Daten, die in der App eingegeben werden, würden lokal auf dem Gerät anstatt in einer Cloud gespeichert. Beim Löschen der App würden auch alle eingegebenen Daten gelöscht, so Euki. Auch Cookies und Nutzeraktivität tracke Euki nicht. In der Datenschutzerklärung heißt es: „Die App sammelt keine persönlich identifizierbaren Informationen oder anonyme Informationen automatisch“.
  Eine Anmeldung in der App mit der E-Mail-Adresse sei auch nicht nötig. Für einen zusätzlichen Schutz der Daten lasse sich eine PIN einrichten. Im Falle einer Handydurchsuchung lasse sich die PIN „0000“ eingeben, um in der App falsche Daten anzeigen zu lassen.
• Wie funktioniert der Umstieg auf Euki?
  Gegenüber netzpolitik.org erklärt Euki, dass es bis jetzt keine automatisierte Möglichkeit gäbe, von anderen Zyklus-Apps auf Euki zu wechseln. Man müsse alles manuell übertragen. Euki arbeite gerade an einer Funktion für den Datenimport.

Euki ist im Google PlayStore und App Store verfügbar.

Periodical

Periodical ist eine quelloffene Zyklus-App von Softwareentwickler Arno Welzel.

• Welche Features bietet Periodical?
  Periodical sei für die Bestimmung der fruchtbaren Tage gedacht, so die Beschreibung im Google PlayStore. Dies berechnet die App mit der Knaus-Onigo-Rechenmethode. Wer den Zyklus trackt, um eine Schwangerschaft zu vermeiden, solle lieber Apps nutzen, die mit der basalen Körpertemperatur arbeiten, da dies genauer sei.
  Man kann Symptome täglich eintragen, die in einem Listenformat einsehbar sind. Backups können auf eine externe Speicherkarte gespeichert werden.
• Welche Rolle hat Privatsphäre?
  Nach Angaben im Google PlayStore sammle Periodical keine Nutzer*innendaten und gebe die Daten nicht an Dritte weiter. Für mehr Transparenz kann man den Code der App einsehen.
• Wie funktioniert der Umstieg auf Periodical?
  Bei einem Wechsel zu Periodical müssen Daten manuell übertragen werden. Auf Anfrage von netzpolitik.org bestätigt Arno Welzel, dass es keine andere Möglichkeit gäbe umzusteigen.

Periodical ist verfügbar im Google PlayStore und bei F-Droid.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.